《校园网规划设计与设备搭建概述.docx》由会员分享,可在线阅读,更多相关《校园网规划设计与设备搭建概述.docx(57页珍藏版)》请在三一办公上搜索。
1、项目文档目录一、需求分析41.用户需求分析42.通信流量分析4二、网络结构与分层51.组网规范52.网络拓扑图53.Vlan和ip地址划分6三、网络设备选型71.6台接入交换机72.2台汇聚层交换机73.路由器选型,3台/接口84.防火墙85.服务器86.无线AP8四、网络搭建91.有线网络解决方案91)网络基本配置92)核心层网络设计(路由器)103)汇聚层网络设计144)接入层网络设计252.无线网络解决方案271)有线网络连接272)无线连接配置283)管理ip配置284)无线安全283.数据中心解决方案(服务器搭建)291)DHCP服务器292)WEB服务器313)FTP服务器324)
2、DNS服务器335)Radius服务器34五、网络安全设计371.骨干网安全371)二层冗余及负载均衡372)三层冗余及负载均衡373)路由冗余(OSPF)384)ACL访问控制列表392.接入网安全421)802.1x422)DHCP snooping443)Spanning-tree portfast443.出口安全451)防火墙基础配置452)防火墙NAT配置453)防火墙ip映射配置454)防火墙IPSec配置455)防火墙Qos配置45六、项目验收46七、项目总结47一、 需求分析1. 用户需求分析需求分析某集团公司规模不断扩大,需要新建一个分支机构(计划有4个部门,人数分别为6、2
3、0、40、10),小组作为该分支机构的信息管理团队,要利用现有设备为该分支机构搭建局域网基础设施,以便员工进入后,能马上利用网络开展工作。从内网安全考虑,使用VLAN技术将各部门划分到不同的VLAN中;为了提高公司的业务能力和增强企业知名度,将公司的WEB网站以及FTP、Mail服务发布到互联网上。设备要求根据公司现有设备规模,业务需要及发展范围使用的计算机、网络设备主要以H3C和CISCO产品为主,本次试验采用锐捷设备搭建a) 服务器需选择中高端产品。b) 要求服务器带有磁盘列阵(RIAD5)。c) 路由器和交换机为CISCO中档产品。d) 防火墙为硬件+软件结构。e) 网络布线主干采用光纤
4、,五类双绞线到桌面(100M)。业务需求公司主页WEB访问,外部人员查询公司信息,在线联系用户需求web访问,邮件,看新闻等等应用需求邮件服务,web服务,数据库,文件互发,查询资料,联系客户计算机平台需求部门个人计算机使用WINDOS 7系统服务器购买专用的服务设备,使用windows的server系统提供服务网络需求从ISP那里申请了一段公网IP进行互联网访问搭建局域网方便互相访问2. 通信流量分析二、 网络结构与分层1. 组网规范快速以太网(Fast Ethernet)是一类新型的局域网,其名称中的“快速”是指数据速率可以达到100Mbps,是标准以太网的数据速率的十倍。快速以太网可以满
5、足日益增长的网络数据流量速度需求。100Mbps快速以太网标准分为:100BASE-TX、100BASE-FX、100BASE-T4三个子类。快速以太网技术可以有效的保障用户在布线基础实施上的投资,它支持3、4、5类双绞线以及光纤的连接,能有效的利用现有的设施。2. 网络拓扑图图2-2 企业网拓扑图3. Vlan和ip地址划分图2-3 vlan/ip地址规划三、 网络设备选型1. 6台接入交换机2. 2台汇聚层交换机3. 路由器选型,3台/接口4. 防火墙5. 服务器Windows 20086. 无线AP四、 网络搭建1. 有线网络解决方案1) 网络基本配置a) 命名hostnameRUIJI
6、E(config)#hostname R1RUIJIE(config)#hostname R2RUIJIE(config)#hostname R3Switch(config)#hostname L3-1Switch(config)#hostname L3-2Switch(config)#hostname L2-1Switch(config)#hostname L2-2AP(config)#hostname dwxz-apb) 远程登录telnetR1(config)#line vty 0 4/进入VTY端口R1(config-line)#password ruijie/设置telnet密码R1
7、(config-line)#login/允许telnet登录R1(config)#enable secret 0 ruijie/设置特权模式密码为ruijie图4-1-1-b 路由器telnet登陆c) Tftp图4-1-1-c 打开tftp服务器,获取ip地址R1#copy startup-configtftpAddress of remote host ?172.16.32.2Destination filename config.text?zhangjq.txt2) 核心层网络设计(路由器)a) 端口ipR1(config)#interface FastEthernet 0/0/进入接口
8、0/0R1(config-if)#ip address 172.16.1.13 255.255.255.252/配置ip地址R1(config)#interface FastEthernet 0/1R1(config-if)#ip address 172.16.1.5 255.255.255.252R1(config)#interface FastEthernet 0/2R1(config-if)#ip address 172.16.1.1 255.255.255.252图4-1-2-a 路由器R1端口ip配置图4-1-2-a 路由器R2端口ip配置图4-1-2-a 路由器R3端口ip配置b)
9、 管理ip配置R1(config)#interface loopback 1/进入环回接口R1(config-if-Loopback 1)#ip address 172.16.0.1 255.255.255.255/配置管理ip地址R1(config)#interface loopback 1R1(config-if-Loopback 1)#ip address 172.16.0.1 255.255.255.255R1(config)#interface loopback 1R1(config-if-Loopback 1)#ip address 172.16.0.1 255.255.255.2
10、55图4-1-2-b R1配置管理ip图4-1-2-b R2配置管理ip图4-1-2-b R3配置管理ipc) Ospf配置R1(config)#router ospf 1/启动ospf进程号1R1(config-router)#network 172.16.0.1 0.0.0.0 area 0/公布网段R1(config-router)#network 172.16.1.0 0.0.0.3 area 0R1(config-router)#network 172.16.1.4 0.0.0.3 area 0R1(config-router)#network 172.16.1.12 0.0.0.3
11、 area 1图4-1-2-c 路由器R1ospf配置图4-1-2-c 路由器R2ospf配置图4-1-2-c 路由器R3ospf配置3) 汇聚层网络设计a) Vlan配置L3-1(config)#vlan 10/创建vlanL3-1(config-vlan)#vlan 20L3-1(config-vlan)#vlan 30L3-1(config-vlan)#vlan 40L3-1(config-vlan)#vlan 50L3-1(config-vlan)#vlan 60L3-1(config-vlan)#vlan 100图4-1-3-a L3-1创建vlan图4-1-3-a L3-2创建vl
12、anb) 端口ip/VlanipL3-1(config)#interface GigabitEthernet 0/25/进入接口L3-1(config-if)#no switchport/关闭交换功能L3-1(config-if)#ip address 172.16.1.14 255.255.255.252/配置ip地址图4-1-3-b L3-1gi0/25配置ip图4-1-3-b L3-2gi0/25配置ipL3-1(config)#interface vlan 10/进入vlan 10L3-1(config-if)#ip address 172.16.15.252 255.255.252.
13、0/配置ip地址L3-1(config)#interface vlan 20L3-1(config-if)#ip address 172.16.19.252 255.255.252.0L3-1(config)#interface vlan 30L3-1(config-if)#ip address 172.16.23.252 255.255.252.0L3-1(config)#interface vlan 40L3-1(config-if)#ip address 172.16.27.252 255.255.252.0L3-1(config)#interface vlan 50L3-1(confi
14、g-if)#ip address 172.16.31.252 255.255.252.0L3-1(config)#interface vlan 60L3-1(config-if)#ip address 172.16.35.252 255.255.252.0L3-1(config)#interface vlan 100L3-1(config-if)#ip address 172.16.0.201 255.255.255.128图4-1-3-b L3-1各vlan配置ip图4-1-3-b L3-2各vlan配置ipc) 管理ip配置L3-1(config)#interface loopback 1
15、/进入环回接口L3-1(config-if-Loopback 1)#ip address 172.16.0.5 255.255.255.255/配置管理ip地址图4-1-3-c L3-2配置管理ip图4-1-3-c L3-2配置管理ipd) DHCP中继L3-1(config)#service dhcp/启动dhcp服务L3-1(config)#ip helper-address 172.16.32.2/指定dhcp中继转发的目标ip地址图4-1-3-d L3-1DHCP中继配置图4-1-3-d L3-2DHCP中继配置e) MSTP配置L3-1(config)#spanning-tree/启
16、动生成树L3-1(config)#spanning-tree mode mstp/设置生成树模式为多生成树mstpL3-1(config)#spanning-tree mst configuration/进入生成树配置模式L3-1(config-mst)#instance 1 vlan 10,20,60,100/把vlan10,20,60,100添加到组1L3-1(config-mst)#instance 2 vlan 30,20,50L3-1(config)#spanning-tree mst 1 priority 4096/设置组2优先级为4096,作为主L3-1(config)#span
17、ning-treeL3-1(config)#spanning-tree mode mstpL3-1(config)#spanning-tree mst configurationL3-1(config-mst)#instance 1 vlan 10,20,60,100L3-1(config-mst)#instance 2 vlan 30,20,50图4-1-3-e L3-1mstp配置图4-1-3-e L3-2mstp配置图4-1-3-e L2-1mstp配置图4-1-3-e L2-2mstp配置f) 二层链路聚合L3-1(config)#interface AggregatePort1/创建
18、组1L3-1(config-if)#switchport mode trunk/设置组的模式为trunkL3-1(config-if)#interface FastEthernet0/23/进入三层交换机间互连接口L3-1(config-if)#port-group 1/把接口添加到组中L3-1(config-if)#interface FastEthernet0/24L3-1(config-if)#port-group 1图4-1-3-f L3-1配置链路聚合图4-1-3-f L3-2配置链路聚合g) Vrrp配置L3-1(config)#interface vlan 10/进入vlan 1
19、0L3-1(config-vlan)#vrrp 1 ip 172.16.15.254/配置vrrp组1虚拟ipL3-1(config-vlan)#vrrp 1 priority 101/配置vrrp优先级L3-1(config-vlan)#vrrp 1 preempt/配置抢占L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25/设置跟踪的上行口L3-1(config)#interface vlan 20L3-1(config-vlan)#vrrp 1 ip 172.16.19.254L3-1(config-vlan)#vrrp 1 prior
20、ity 101L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 30L3-1(config-vlan)#vrrp 1 ip 172.16.23.254L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 40L3-1(config-vlan)#vrrp 1 i
21、p 172.16.27.254L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 50L3-1(config-vlan)#vrrp 1 ip 172.16.31.254L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 60L3-1(config-vlan)#
22、vrrp 1 ip 172.16.35.254L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)#vrrp 1 preemptL3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/25L3-1(config)#interface vlan 100L3-1(config-vlan)#vrrp 1 ip 172.16.0.254L3-1(config-vlan)#vrrp 1 priority 101L3-1(config-vlan)#vrrp 1 track GigabitEthernet 0/
23、25图4-1-3-g L3-1配置vrrp图4-1-3-g L3-2配置vrrph) Ospf配置L3-1(config)#router ospf 1/启动ospf进程号1L3-1 (config-router)#network 172.16.0.4 0.0.0.0 area 1/公布网段L3-1(config-router)#network 172.16.0.128 0.0.0.127 area 1L3-1(config-router)#network 172.16.1.12 0.0.0.3 area 1L3-1(config-router)#network 172.16.12.0 0.0.
24、3.255 area 1L3-1(config-router)#network 172.16.16.0 0.0.3.255 area 1L3-1(config-router)#network 172.16.20.0 0.0.3.255 area 1L3-1(config-router)#network 172.16.24.0 0.0.3.255 area 1L3-1(config-router)#network 172.16.28.0 0.0.3.255 area 1L3-1(config-router)#network 172.16.32.0 0.0.3.255 area 1图4-1-3-h
25、 L3-1配置ospf图4-1-3-h L3-1配置ospf4) 接入层网络设计a) Vlan配置L2-1(config)#vlan 10/创建vlanL2-1(config-vlan)#vlan 20L2-1(config-vlan)#vlan 30L2-1(config-vlan)#vlan 40L2-1(config-vlan)#vlan 50L2-1(config-vlan)#vlan 60L2-1(config-vlan)#vlan 100图4-1-4-a L2-1创建vlan图4-1-4-a L2-2创建vlanb) 管理ip配置L2-1(config)#interface vla
26、n100L2-1(config-vlan)#ipaddress 172.16.0.204 255.255.255.128图4-1-4-b L2-1配置管理ip图4-1-4-b L2-2配置管理ip2. 无线网络解决方案1) 有线网络连接dwxz-ap(config)#interface GigabitEternet 0/1/进入物理接口gi0/1dwxz-ap(config-if-GigabitEternet 0/1)#encapsulation dot1Q 50/封装vlan50dwxz-ap(config-if-GigabitEternet 0/1)#interface dot11 rad
27、io 1/0/进入无线设备虚拟接口1/0dwxz-ap(config-if-Dot11radio 0/1)#encaosulation dot1Q 50/封装vlan50dwxz-ap(config-if-Dot11radio 0/1)#mac-mode fat/设置ap模式为胖APdwxz-ap(config-if-Dot11radio 0/1)#chanel 11/设置信道为11dwxz-ap(config-if-Dot11radio 0/1)#wlan-id 1/设置wlan-id是1dwxz-ap(config-if-Dot11radio 0/1)#ip router 0.0.0.0
28、0.0.0.0 172.16.31.254/配置默认路由图4-2-1 无线网络的有线网络连接2) 无线连接配置dwxz-ap(config)#dot11 wlan 1/创建wlan,协议为802.11dwxz-ap(dot11-wlan-config)#vlan 50/关联vlan50dwxz-ap(dot11-wlan-config)#broadcast-ssid/广播ssiddwxz-ap(dot11-wlan-config)#ssid dwxz.5/ssid命名图4-2-2无线网络的无线连接配置3) 管理ip配置dwxz-ap(config)#interface BVI 50/进入BVI
29、配置管理ipdwxz-ap(config-if-BVI 50)#ip address 172.16.31.250 255.255.252.0图4-2-3无线网络的BVI配置管ip4) 无线安全图4-2-4无线网络的无线安全配置3. 数据中心解决方案(服务器搭建)1) DHCP服务器图4-3-1 DHCP地址池图4-3-1 DHCP作用域图4-3-1 DHCP地址租用2) WEB服务器图4-3-2 添加网站图4-3-2 web浏览3) FTP服务器图4-3-3 ftp登陆图4-3-3 ftp上传下载4) DNS服务器图4-4-4 正向查找区域图4-4-4 反向查找区域图4-4-4 条件转发器5)
30、 Radius服务器图4-4-5 Radius客户端配置图4-4-5配置连接请求策略图4-4-5创建用户和组图4-4-5添加验证用户组图4-4-5 认证成功五、 网络安全设计1. 骨干网安全1) 二层冗余及负载均衡MSTP(Multi-Service Transfer Platform)(基于SDH的多业务传送平台)是指基于SDH平台同时实现TDM、ATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。多生成树协议MSTP(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种新型生成树协议。简单说来,STP/RSTP是基于端口的,PV
31、ST是基于VLAN的,而MSTP是基于实例的。与STP/RSTP和PVST+相比,MSTP中引入了“实例”(Instance)和“域”(Region) “的概念。“实例”就是多个VLAN的一个集合,这种通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。2) 三层冗余及负载均衡虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起
32、混乱,允许主机使用单路由器,以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。监视上行端口ge0/25,当上行接口关闭,主动降低优先级。图5-1 MSTP+VRRP3) 路由冗余(OSPF)OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol,简称IGP),用于在单一自治系统(autonomous system,AS)内决策路由。是对链路状态路由协议的一种实现,隶属内部网关协议(IGP),故运作于自治系统内部。图5-1-3 开放式最短路径优先4) ACL访问控制列表L3-1(co
33、nfig)#access-list 1 deny 172.16.16.0 0.0.3.255/创建访问控制列表拒绝172.16.16.0网段访问L3-1(config)#access-list 1 deny 172.16.20.0 0.0.3.255L3-1(config)#access-list 1 deny 172.16.24.0 0.0.3.255L3-1(config)#access-list 1 deny 172.16.28.0 0.0.3.255L3-1(config)#access-list 1 permit anyL3-1(config)#interface vlan 10L3
34、-1(config-vlan)#ip access-group 1 out/把访问控制列表应用到vlan10L3-1(config)#access-list 2 deny 172.16.12.0 0.0.3.255L3-1(config)#access-list 2 deny 172.16.20.0 0.0.3.255L3-1(config)#access-list 2 deny 172.16.24.0 0.0.3.255L3-1(config)#access-list 2 deny 172.16.28.0 0.0.3.255L3-1(config)#access-list 2 permit
35、anyL3-1(config)#interface vlan 20L3-1(config-vlan)#ip access-group 2 outL3-1(config)#access-list 3 deny 172.16.12.0 0.0.3.255L3-1(config)#access-list 3 deny 172.16.16.0 0.0.3.255L3-1(config)#access-list 3 deny 172.16.24.0 0.0.3.255L3-1(config)#access-list 3 deny 172.16.28.0 0.0.3.255L3-1(config)#acc
36、ess-list 3 permit anyL3-1(config)#interface vlan 30L3-1(config-vlan)#ip access-group 3 outL3-1(config)#access-list 4 deny 172.16.12.0 0.0.3.255L3-1(config)#access-list 4 deny 172.16.16.0 0.0.3.255L3-1(config)#access-list 4 deny 172.16.20.0 0.0.3.255L3-1(config)#access-list 4 deny 172.16.28.0 0.0.3.2
37、55L3-1(config)#access-list 4 permit anyL3-1(config)#interface vlan 40L3-1(config-vlan)#ip access-group 4 outL3-1(config)#access-list 5 deny 172.16.12.0 0.0.3.255L3-1(config)#access-list 5 deny 172.16.16.0 0.0.3.255L3-1(config)#access-list 5 deny 172.16.20.0 0.0.3.255L3-1(config)#access-list 5 deny 1
38、72.16.24.0 0.0.3.255L3-1(config)#access-list 5 permit anyL3-1(config)#interface vlan 50L3-1(config-vlan)#ip access-group 5 out图5-1-4 L3-1配置标准访问控制列表图5-1-4 L3-2配置标准访问控制列表2. 接入网安全1) 802.1xL2-1(config)#aaa new-model/启动aaa服务L2-1(config)#aaa authentication dot1x default group radius/认证802.1x,启用默认列表default
39、,采用radius认证方式L2-1 (config)#dot1x authentication default/启用default列表应用L2-1(config)#radius-server host 172.16.32.2/配置radius服务器地址L2-1(config)#radius-server key 123456/设置交换机和服务器之间的密码L2-1 (config)#dot1x auth-mode chap/身份验证的加密方式改为chapL2-1 (config)#interface range fa0/1 - 22/进入交换机的下行接口L2-1 (config-if)#dot1
40、x port-control auto/在端口启用802.1x图5-2-1 L2-1802.1x配置图5-2-1 L2-1802.1x配置2) DHCP snoopingL3-1(config)#ipdhcp snooping/配置dhcp中继L3-1(config)#iinterfacefastEternet 0/1L3-1(config-if)#ip dhcp snooping trust/接口启动dhcp中继L3-1(config)#iinterfacefastEternet 0/2L3-1(config-if)#ip dhcp snooping trust图5-2-2 L3-1dhcp
41、 snooping配置图5-2-2 L3-2接口dhcp snooping配置3) Spanning-tree portfastL3-1(config)#interface fa0/3L3-1(config-if)#spanning-tree portfastL3-1(config)#interface fa0/4L3-1(config-if)#spanning-tree portfast图5-2-3 L3-1接口Spanning-tree portfast配置图5-2-3 L3-2接口 Spanning-tree portfast配置3. 出口安全1) 防火墙基础配置a) Web登陆b) 端
42、口ip2) 防火墙NAT配置图5-3-2 定义nat地址池图5-3-2 安全规则中应用nat的源和目标3) 防火墙ip映射配置图5-3-3 外网端口添加IP地址图5-3-3 安全规则中应用ip映射的源和目标4) 防火墙IPSec配置图5-3-4 基本配置图5-3-4 对端端点定义图5-3-4 本端连接定义图5-3-4 本端网关到对端网关的ike包允许通行图5-3-4 对端网关到本端网关的ike包允许通行图5-3-4 本端到对端的包过滤定义启用vpn隧道连接图5-3-4 对端到本端的包过滤定义启用vpn隧道连接5) 防火墙Qos配置图5-3-5 定义流量图5-3-5 应用定义的流到服务器六、 项
43、目验收图6-1 实验成果图图6-2 项目验收表七、 项目总结在本次项目中,大家都积极参与认真完成布置的任务,虽然有十分多的不足之处,当然也在其中积累了一定的经验。1. 无论是什么协议只要在多台设备中运行,那么就必须保证设备之间的互通,vrrp和mstp本身运行可能要借助多个vlan所以,在交换机互联的端口使用trunk模式是最好的选择;当然如果是在需要通过IP互联的设备那么就要给它设置管理ip和网关;三层交换机和路由器尽量使用loopback接口管理,二层交换机最好采用管理vlan进行管理,以方便管理和保证安全2. 交换机在启用AAA协议以后telnet本身自带的密码将不起作用,要在全局模式下添加username和password。3. 通过ACL进行限制时,一定要清楚每一个端口或者vlan都是一道进房子的大门;在端口或者vlan中配置in,就是对这道大门进来的人进行检查,out就是对出去的人进行检查:标准访问控制列表只控制源地址;4. 在ospf搭建以前要确保每个互联接口通信和网段对应。5. 802.1x认证中保证两端的认证方法是必要的6. 在需求分析中尽可能的了解客户的需求,才不会在后期不断的推翻重做。7. 组网规范和设备选型靠的就是对通信流量的分析,虽然通信流量分析很麻烦但还是要做好的。