中小型企业园区网络的设计与实现

目录
第1章需求分析 (2)
1.1项目背景 (2)
1.2 需求分析 (2)
第2章相关技术介绍 (3)
2.1 项目开发所需的软件 (3)
2.2 路由技术 (3)
2.2.1 动态路由 (3)
2.3 广域网技术 (3)
2.3.1 网络地址转换NAT (3)
2.4 交换机技术 (4)
2.4.1 VLAN技术 (4)
2.4.2 Trunk技术 (5)
第3章网络总体设计 (6)
3.1 网络总体拓扑图 (6)
3.2 路由设计 (6)
3.2.1 路由协议选择 (6)
3.2.2 IP地址规划 (6)
3.3 交换设计 (7)
3.3.1 交换技术选择 (7)
3.4 网络层次化设计 (8)
3.4.1 核心层设计 (8)
3.4.2 汇聚层设计 (9)
3.4.3 接入层设计 (9)
3.4.4 内联接入 (9)
第4章网络配置实现 (10)
4.1 设备基本配置 (10)
4.2 IP地址配置 (10)
4.3 交换部分的配置 (10)
4.3.1 Trunk链路的配置 (10)
4.3.2 VTP和VLAN的配置 (10)
4.4 路由协议的配置 (11)
第五章总结 (12)
中小型企业园区网的设计与实现
第1章需求分析
1.1项目背景
北京华才期货公司是一家即将成立的期货公司。

该公司网络项目工程的建设目标是：搭建期货公司核心网络，以实现金融期货交易，商品交易等系统建立网络平台为基础，选购符合分支机构及中心机房需求的高性价比网络设备；按照“高标准、高起点”的要求，采用三层网络结构，按要求实现网络安全的需求。

网络设备主要以核心交换区设备为主。

要求计算机网络系统满足系统集成的网络平台需求，并考虑对设备投资保护，保证未来几年的系统扩展。

组建一个高效、稳定、可靠、易管理、安全的企业网。

1.2 需求分析
公司的具体环境如下：
（1）公司有2个办公地点，分别是北京总部和上海分部。

（2）总部的部门有数据中心、核心交换区和交换所接入等，是主要的办公场所，数据中心作为期货交易的核心数据的存放地，其性能、稳定性、安全性、可靠性的要求最高。

（3）核心交换区的功能是高速可靠地交换数据，该部分的设计应考虑性能和可用性的平衡。

（4）交易所接入作为外联单位接入区域，其安全性应该是放在第一位，同时期货交易离不开交易所的连接，因此冗余性的考虑也是必须的。

（5）上海交易所只能访问北京总部的数据中心，不能访问总部办公楼。

（6）公司已经申请到了若干公网IP地址，供企业内网接入使用，公司内部使用私网地址。

能够访问Internet。

第2章相关技术介绍
2.1 项目开发所需的软件
Cisco是一个可以模拟复杂网络的图形化网络模拟器，它可以运行在Windows、Linux、MAC OS 上，允许你在虚拟环境中运行Cisco IOS。

GNS3 是dynagen 的图形化前端，用于搭建网络TOP,并生成dynagen 所可以加载的net 文件，用来加载Cisco IOS的核心程序是dynamips。

2.2 路由技术
2.2.1 动态路由
动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算机最佳路由。

由于路由的复杂性，路由算法也是分层次的，通常把路由协议（算法）划分为自治系统(AS)内的IGP(Interior Gateway Protocol)与自治系统之间EGP(External Gateway Protocol)的路由协议。

RIP的全称是Routing Information Protocol,是IGP，采用Bellman-Ford算法。

RFC1058是RIP version 1标准文件，RFC2453是RIP Version 2的标准
2.3 广域网技术
2.3.1 网络地址转换NAT
网络地址转换NAT(Network Address Translation)属接入广域网(WAN)技术，是一种将私有(保留)地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet 接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

借助于NAT，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。

NAT的实现方式有三种，即静态转换(Static Nat)、动态转换(Dynamic Nat)和端口多路复(OverLoad)。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用PAT(Port address Translation)是指改变外出数据包的源端口并进行端口转换，即端口地址转换PAT。

采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

2.4 交换机技术
2.4.1 VLAN技术
Vlan（Virtual Local Area Network）即虚拟局域网，是一种将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

VLAN技术允许网络管理者讲一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。

一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2.4.2 Trunk技术
一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨过多台交换机，就需要用到Trunk技术。

Trunk是指交换机之间或交换机与路由器之间VLAN之间的连接，VLAN信息通过Trunk在交换机之间或路由器之间传递，从而可以将VLAN 跨越整个网络，而不仅仅是局限在一台交换机上。

第3章网络总体设计
3.1 网络总体拓扑图
图3.1 网络总体拓扑图
如上图3.1所示，各区域可以各自建立交换网络、路由接入、网络安全体系，可以有独立的安全策略、数据流量控制等个体的特征，而需要和其他区域的设备进行通讯的时候，则必须遵守核心网络区的策略。

3.2 路由设计
3.2.1 路由协议选择
本系统主要采用RIP路由协议。

3.2.2 IP地址规划
IP 地址的规划在网络设计中的作用举足轻重。

直接影响整个网络运行的效率。

IP 地址设计的总原则是简单、易管理、易扩展。

IP 地址是TCP/IP 协议族中的网络层逻辑地址，它被用来唯一地标识网络中的一个节点。

IP 地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。

根据以下几个原则来分配IP 地址：
（1）唯一性：一个IP 网络中不能有两个主机采用相同的IP地址
（2）简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项
（3）连续性：连续地址在层次结构网络中易于进行路由总结(Route Summarization)，大大缩减路由表，提高路由算法的效率
（4）可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性
（5）灵活性：地址分配应具有灵活性，可借助可变长子网掩码技术(VLSM Variable-Length Subnet Mask)，以满足多种路由策略的优化，充分利用地址空间。

表3.1 IP地址规划表
3.3 交换设计
3.3.1 交换技术选择
考虑到园区网络的实际需求，设计时，保证网络的高可用性和稳定性至关重要，保证网络的高可用性和稳定性，还能够充分利用现有设备的资源，以避免单台核心设备的负载太重而导致的网络性能问题。

同时各分支交换机两台上联千兆线路分别上连到两台中心路由交换机上，构成全路由交换的网络；借助于跨骨干的VLAN技术，使得对网络内有关Server的访问变得更加安全有效。

3.4 网络层次化设计
随着网络技术的迅速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，由此形成了一个新的、更适应现代的高速大型网络的分层设计模型。

这种分级方法被称为“多层设计”。

多层设计有以下一些好处：
多层设计是模块化的，网络容量可随着日后网络节点的增加而不断增大。

多层网络有很大的确定性，因此在运行和扩展过程中进行故障查找和排除非常简单。

多层网络系统设计最有效地利用多种第3层业务，包括分段、负载分担和故障恢复等。

在多层网络中运用智能第3层业务可以大大减少因配置不当或设备故障引起的一般问题。

多层模式使网络的移植更为简单易行，因为它保留了基于路由器和交换机的网络原有的寻址方案，对以往的网络有很好的兼容性。

另外分层结构也能够对网络的故障进行很好的隔离。

针对实际情况采用三层结构模型。

三层机构模型划分为三个层次，即核心层、分布层、接入层。

每个层次完成不同的功能。

（1）核心层：核心层作为整个网络系统的核心，其主要功能是高速，可靠的进行数据交换。

（2）分布层：分布层主要进行接入层的数据流量汇聚，并对数据流量进行访问控制。

包括访问控制列表、VLAN路由等等。

（3）接入层：接入层主要提供最终用户接入网络的途径。

主要是进行VLAN的划分、与分布层的连接等等。

3.4.1 核心层设计
核心交换区的作用是尽快地提供所有区域间的数据交换。

两台交换机高性能、可靠性、可用性是主要考虑的因素。

本区的安全性可以由边界防火墙提供，如有需要在上面可以部署安全策略，使得核心交换区的安全性进一步地增强。

Cisco 系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量、可预测性能、高级安全性和全面的管理。

它提供带集成永续性的出色控制，将
永续性集成到硬件和软件中，缩短了网络停运时间。

Cisco系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报，从而在延长部署寿命的同时降低了拥有成本。

方案中交换机配置了一块引擎，引擎用于Cisco交换机机箱，是一款64Gbps、4800万分组/秒（48mpps）的第二到四层交换引擎，直接在管理引擎面板上配备了2个线速GBIC端口。

该引擎可为中型企业提供价格合理、易于使用的可扩展性、创新安全性、集成可靠性和灵活性。

3.4.2 汇聚层设计
园区网络项目的汇聚层交换机，对于中型机构和企业分支机构来说，Cisco系列通过提供配置灵活性，支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断变化的业务需求进行调整。

此外，Cisco系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。

Cisco提供12个千兆位以太网SFP端口用于连接数据中心和办公楼的接入层交换机和中心核心机房的交换机。

3.4.3 接入层设计
接入层交换机采用思科的千兆以太链路和汇聚交换机相连接，并为用户终端提供10/100M自适应的接入，从而形成千兆为骨干，百兆到桌面的以太网三层结构。

办公系统所需的各种服务器如办公自动化服务器、邮件服务器、DHCP服务器等组成服务器群，数据中心的多种金融系统应用服务器，连接到汇聚交换机的千兆模块上面，因此，内部的局域网是采用三层结构组建。

3.4.4 内联接入
推荐使用两台Cisco 2800系列路由器通过线路完成此项功能。

由于可信度很高；接入时主要作用是管理和监控，不涉及交易。

总结以上原因，内联路由器与核心交换网络间不需要配置格外的防火墙。

第4章网络配置实现
4.1 设备基本配置
在对设备进行具体的配置之前都要进行一些基本命令的配置，比如说给每台设备定义一个不同的名称，这样方便在同时开启了多台设备的时候能够迅速找到需要配置的设备；关闭域名解析可以防止敲错命令的时候系统自动进行域名解析耽误时间；开启日志同步可以让输入的命令不被控制台信息所覆盖。

4.2 IP地址配置
在交换机上配置IP地址的时候首先需要使用no switchport命令开启交换机的三层路由功能，在这里给每个设备配置一个接口用于管理设备。

4.3 交换部分的配置
4.3.1 Trunk链路的配置
只有将设备相连的链路封装成Trunk链路VTP中继协议才能将VLAN信息同步到其它设备，而且Trunk链路可以传递多个VLAN的信息。

Trunk链路有两种封装协议802.1q和ISL，ISL是Cisco专有的协议，而802.1q是业界的标准协议，为了兼容性和稳定性应该选择802.1q协议。

4.3.2 VTP和VLAN的配置
如果有多台设备都需要划分同样的vlan的时候，如果手工配置的话会比较费时，也容易出错，这个时候可以使用VTP中继协议，把需要划分VLAN的设备都加入到同一个VTP域中，设置相同的VTP密码，设置一个VTP服务器端，在服务器上创建VLAN后，VLAN信息会被VTP域中的其他设备学习到。

2960-24TT的VTP和VLAN配置如下：
2960-24TT #vlan database
2960-24TT (vlan)#vtp domain cisco //设置VTP域名为cisco
2960-24TT (vlan)#vtp server //设置VTP模式为服务器模式
2960-24TT (vlan)#vtp password cisco //设置VTP密码为cisco
2960-24TT (vlan)#vlan 10 //创建VLAN 10
2960-24TT (vlan)#vlan 20 //创建VLAN 20
2960-24TT (vlan)#vlan 40 //创建VLAN 40
2960-24TT (vlan)#vlan 60 //创建VLAN 60
2960-24TT (vlan)#exit
4.4 路由协议的配置
动态路由协议采用自适应路由算法，能够根据网络拓扑的变化而重新计算机最佳路由。

2811的动态路由配置：
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#router rip
Router(config-router)192.168.1.0 255.255.255.0 172.38.1.5
Router(config-router)#exit
Router(config)#router rip
Router(config-router)192.168.2.0 255.255.255.0 172.38.1.5
Router(config-router)#exit
Router(config)#router rip
Router(config-router)172.38.1.0 255.255.0.0
Router(config-router)#exit
第五章总结
本项目通过采用RIP路由协议VLAN技术、Trunk等交换技术，广域网技术NAT，实现了公司总部与分部的相互访问、信息共享和内网访问Internet，并实现了一定的访问控制。

本项目的运行环境是在cisco模拟器的环境下通过加载cisco IOS搭建而成的，虽然和真实的环境有一定的差异，但是实验原理和用到的技术都是一样的，而且这已经是最高程度的模拟了，因为加载的IOS就是真实的设备中运行的IOS。

限于本人能力有限和模拟环境的限制，本项目中的网络安全的功能不是特别完善，本人也在不断努力，在以后的实验中对这部分功能进行修缮。