网络配置课程设计:中小企业网络服务规划
2008-06-01 21:30
369 查看
课程设计报告
课程设计题目:中小企业网络服务的综合设计与实现
学生姓名:张平平
专 业:网络技术
班 级:061173
指导教师:李卫东老师
2008年 5月 31日
目 录
1课程设计的目的和意义……………………………………………2
2课程题目描述和任务要求…………………………………………2
3服务器的安装与配置具体步骤……………………………………6
4 网络方案设计………………………………………………………51
5 设备选型……………………………………………………………55
6 用BOSON软件模拟实验……………………………………………59
7 个人小结……………………………………………………………63
8 参考文献资料………………………………………………………64
一、 课程设计目的和意义
通过对《计算机网络配置、管理与应用-Windows Server 2003》课程的学习,我们已经对网络配置有一定程度的掌握,经过这一周的课程设计,让我们进一步地掌握网络配置方面的知识,正所谓学海无涯,同时温故而知新;课程设计就是学习过后的一个实践,学说不练也白搭,只有真正做出东西来了才算得上真正学到了东西,总之,课程设计就是为了温故知识,加以实践,更好地掌握网络配置相关的知识。
二、 课程设计题目描述和任务要求
中小企业网络服务的综合设计与实现,包括企业内部DHCP服务器、FTP服务器和DNS等服务器的安装与配置。具体来说就是给某中小企业网络规划各部门的IP地址,部署各种服务器,设计网络路由及Internet出口,划出相应网络拓朴结构图等
1、各部门IP地址和vlan的划分(子网掩码全部是24位)
服务器名 IP地址 网关
DHCP 192.168.50.10 192.168.50.254
DNS 192.168.50.20 192.168.50.254
FTP 192.168.50.30 192.168.50.254
Vlan ID Vlan name IP 备注
50 Server_vlan 192.168.50.254 服务器
40 Vlan40 192.168.40.254 总经理办公室
30 Vlan30 192.168.30.254 人力资源部
20 Vlan20 192.168.20.254 财务部
10 Vlan10 192.168.10.254 生产技术部
41 Vlan41 192.168.41.254 计划营销部
31 Vlan31 192.168.31.254 党群工作部
21 Vlan21 192.168.21.254 保卫部
11 Vlan11 192.168.11.254 后勤部
部门 IP地址 网关
总经理办公室 192.168.40.1-192.168.40.3 192.168.40.254
人力资源部 192.168.30.1-192.168.30.10 192.168.30.254
财务部 192.168.20.1-192.168.20.10 192.168.20.254
生产技术部 192.168.10.1-192.168.10.10 192.168.10.254
计划营销部 192.168.41.1-192.168.41.10 192.168.41.254
党群工作部 192.168.31.1-192.168.31.10 192.168.31.254
保卫部 192.168.21.1-192.168.21.10 192.168.21.254
后勤部 192.168.11.1-192.168.11.10 192.168.11.254
2、网络拓扑图及设计原则
(1)拓扑设计
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。
优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。
局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。
(2)设计原则
网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络做为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务***、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务***、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
三、服务器的安装与配置具体步骤
*注:以下截图均从虚拟机上截得,我虚拟机上装的是Windows Server 2003
1、DHCP服务器
1.1 DHCP服务器的安装
在计算机上执行"开始"'"管理您的服务器"出现图1.1窗体
图1.1 管理您的服务器
图1.2 添加或删除角色
依图一步一步往下操作
图1.3 预备步骤
图1.4 选择服务器角色
在此选择DHCP服务器,下一步
图1.5 安装DHCP服务器
图1.6 欢迎使用新建作用 域向导
图1.7 新建作用域名
在此窗体的相处添加相就的文字,虚拟出一个"东华中学"教育机构
图1.8 新建作用域的IP地址范围
添加IP地址作用域范围:192.168.10.1-192.168.10.200,子网掩码24位
图1.9 "添加排除"对话框
如果要排除IP地址就可以在此添加,使得客户机上无法获得这些被排除的IP
图1.10 "租约期限"对话框
在此可以限制客户机所获得IP的租约期限,这个功能是很有用的,比如,一个新员工来上班,他在试用期表现挺好的,可是未必会被录用,那么这个功能就可以限制,只要把期限设到直到他出公司那天就行了,以后他再也不能得到那个IP地址了。
图1.11 "配置DHCP选项"对话框
图1.12 "跌幅器(默认网关)"对话框
图1.13 "域名称和DNS服务器"对话框
图1.14 "WINs服务器"对话框
这里我没有设置这一项,跳过了。
图1.15 "激活作用域"对话框
图1.16 "完成"对话框"
1.2 DHCP服务器的配置
图2.1 "添加服务器"和"管理授权的服务器"选择对话框
图2.2 选择添加服务器
图2.3 "管理授权的服务器"对话框
在此对话框可授权DHCP服务器,也可以解除授权。
图2.4 "常规"选项卡
图2.5 "DNS"选项卡
图2.6 "高级"选项卡
图2.7 "新建作用域向导"对话框
在安装DHCP服务器的时候已经创建了一个作用域,如果想再创建作用域就可以DHCP窗口中右击DHCP服务器,在弹出的快捷菜单中选择"新建作用域",随后就出现以上对话框,下一步创建作用域并为其添加IP地址范围(图2.8和图2.9)
图2.8 作用域名
图2.9 IP地址范围
其它的一些配置和安装DHCP的配置是一样的,如地址排除、租约期限等。
1.3 客户端的配置
客户端只需配置它自动获得IP地址就行了,打开本地连接,依次按以下图示进行操作就行了。
图2.10 本地连接
图2.11 本地连接属性
图2.12 获得IP方式
图2.13 DOS命令行
开始'运行'cmd'输入ipconfig,即可看到以上图示,此客户机动态获得了IP。
2、DNS服务器的安装与配置
2.1 DNS服务器的安装
刚开始的几步和DHCP服务器的安装是类似的:选择服务器角色
图3.1 选择所要安装的服务器
图3.2 选择配置操作:关于正反向查找区域的选择
图3.3选择是否要创建正向查找区域,这一步是很重要的,特别是对于一些中大型网络
图3.4 添加新建区域名称
图3.5
动态更新,这一步对于安全方面来说是非常重要的
图3.6 反向查找区域的建立
图3.7 反向查找区域动态更新
图3.8 系统收集根提示
2.2 配置DNS服务器
图3.9 开始-'管理工具-'DNS,就打开以上对话框,然后进行DNS服务器属性的配置
图3.10 "接口"选项卡
右击所要配置的DNS服务器属性,以下一一对接口,转发器等一系列的选项卡进行配置
图3.11 "转发器"选项卡
这个选项非常重要,一旦这台DNS服务器不能提供DNS服务的时候就必须将DNS服务转发给备用DNS服务器提供,这就需要在此设置。
图3.12 以上对话框也很重要,如果设置的时间太长那就需要很大的硬盘空间,而太短了,在服务器出问题后的排除问题就要查看记录,查看时可能就没有出问题原因的记录,所以这个得设置得当。
图3.13 根提示
图3.14 调试日志
图3.15 事件日志
图3.16 设置所要记录的东西,按以上对话框选择。
图3.17 "安全"选项卡
这是一个非常重要的属性,在这里设置用户的操作权限,若设置不当,可能无法访问,也可能用户可以修改,企业老板当然不希望谁都可以修改,这就需要在此设置适当。
3 安装和配置Web服务及FTP服务
3.1 安装Web服务及FTP服务
图4.1 选择服务器角色
图4.2 应用程序服务器选项
图4.3 总结所选择的项目
图4.5
图4.6 显示正在配置组件
图4.7
图4.8
图4.9 新建网站
图4.10
图4.11 输入网站描述
图4.12 输入网站的IP地址及端口号
不同的网站可以设置相同的IP地址,但是TCP端口必须设置不同
图4.13 浏览到所建网站的主目录路径
图4.14 设置网站访问的权限
图4.15
图4.16 网站属性对话框
图4.17 高级网站标识
图4.18 "性能"对话框
图4.19 "主目录"对话框
在本地路径中浏览找到index首页的地址,还可以设置客户端用户对网页的操作权限
3.2 FTP服务器的安装和配置
图5.1
图5.2
图5.3 选择所要安装的FTP服务
图5.4 选择所要安装的FTP服务
图5.5
图5.6
图5.7 输入所建网站的IP地址和端口号
图5.8 在此窗体可以查看已连接的用户
图5.9 选择新日志计划,多长时间记录一次
图5.10 日志记录属性
图5.11 设置匿名连接的用户名和密码
图5.12 设置FTP站点消息
图5.13 设置FTP站点目录路径和客户端操作权限
图5.14 TCP/IP地址访问限制,可以设置一些IP不能访问此FTP站点
图5.15 新建站点
图5.16 输入网站描述
图5.17 输入FTP站点IP和TCP端口
图5.18 FTP用户隔离
图5.19 设置FTP主目录
图5.20 设置FTP站点访问权限
3.3 客户端查看FTP站点
(1)用IE浏览器查看,直接在地址栏输入所建站点的IP,如"ftp://192.168.10.100/".。
图5.21
(2)用DOS命令查看,如下图所示
图5.22
四、网络方案设计
(一)网络结构分析
1.骨干层
核心交换机建议采用cisco3550核心路由交换机即可。可以根据用户的需求灵活配置,灵活构建弹性可扩展的网络。
2.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用cisco2950交换机。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管。
3.出口
采用路由器 + 防火墙的方式,起到如下作用:
防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
(二)网络架构设计
基于目前企业规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在两栋办公楼采用万兆的三层汇聚设备,楼层千兆连接接入交换机;服务器千兆接入到核心交换机上;百兆到桌面;
为了以后扩展的需要,所以采用RG-WALL 1000防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接Internet;
出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限。
(三)扩展的考虑
备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
楼层交换机可扩充为96个千兆口,拥有很强的接入扩展功能。
(四)网络VLAN的设计
在企业网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。主要突出为以下几点:
VLAN 划分,可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
VLAN 划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制。
网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。
提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实行,分流核心交换机的三层交换,优化了组网。
根据以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以"灵活划分、方便管理"为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:
1、方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。
2、易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。
3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问。
(五)网络QoS设计
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
例如,将下载一个大型文件的任务设置到交换机一个端口,而在该交换机的另外一个端口进行语音通信,为减少语音通信时延,保证通话质量,可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览,可以作为低优先级对待,或者"尽力而为"地进行处理。
如图所示:QoS工作原理
在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。
通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。
(六)网络安全设计
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
1.接入安全
思科 WS-C3750-12S-S智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,思科 WS-C3750-12S-S系列在网络或城域接入边缘实现了智能服务。
2.访问安全
思科 WS-C3750-12S-S多业务万核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
3.病毒防御
cisco网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似"冲击波、震荡波"的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。3)支持防止DDoS***,防止IP段恶意扫描等抗***特性。
五、设备选型
(一)路由器的选择
思科 3825-DC 基本参数
产品型号 3825-DC
产品类型 模块化,企业级,集成多业务路由器
包转发率 10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps
外形尺寸 373.38×434.34×88.9mm
重量 9.06Kg
思科 3825-DC 硬件参数
处理器 RISC QED RM5271 225MHz
DRAM内存 1024MB
Flash内存 256MB
固定广域网接口 可选
固定局域网接口 2 个千兆位以太网
控制端口 Console
扩展插槽 有,1个 SFP插槽,2个NMEs,4个HWIC,2个AIM 插槽,4个 PVDM插槽
思科 3825-DC 网络与软件
网络管理 支持SNMP管理,Cisco ClickStart
*** 支持
QoS 支持
内置防火墙 有
认证标准 UL 60950:CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 60950
思科 3825-DC 其它参数
电源电压 24-60 VDC
最大功率 300W
(二)交换机的选择
思科 WS-C3750-12S-S 详细参数
思科 WS-C3750-12S-S 基本参数
产品型号 WS-C3750-12S-S
产品类型 企业级,三层,可网管型交换机
传输方式 存储转发方式
包转发率 10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps
外形尺寸 445×301×44mm
重量 3.6Kg
思科 WS-C3750-12S-S 硬件参数
接口类型 10/100/1000BASE-T端口
接口数目 12口
传输速率 10M/100M/1000Mbps
模块化插槽数 12
堆叠 可堆叠
思科 WS-C3750-12S-S 网络与软件
支持网络标准 IEEE 802.3, 802.3u, 802.3x, 802.3ab
VLAN支持 支持
网管功能 支持
是否支持全双工 支持
思科 WS-C3750-12S-S 其它参数
电源电压 200-240
最大功率 42W
(三)防火墙
思科 ASA5510-K8 详细参数
思科 ASA5510-K8 基本参数
产品型号 ASA5510-K8
产品类型 企业级,***防火墙
最大吞吐量 300Mbps
安全过滤带宽 170Mbps
外形尺寸 174.5×200.4×44.5mm
重量 1.8Kg
思科 ASA5510-K8 硬件参数
固定接口 3个快速以太网接口
扩展插槽 1个SSC扩展插槽
思科 ASA5510-K8 网络与软件
用户数限制 无用户数限制用户
并发连接数 130000并发连接数
*** 支持
认证标准 DES许可证
功能特点 控制端口:console
思科 ASA5510-K8 其它参数
电源电压 100-240VAC,50/60Hz
(四)服务器
IBM System x3850 M2 7141I01 详细参数
IBM System x3850 M2 7141I01 基本资料
产品型号 System x3850 M2 7141I01
产品类型 4U机架式
上市时间 2008年
IBM System x3850 M2 7141I01 处理器
处理器 Intel Xeon MP E7310 1.6G
处理器主频(MHz) 1600MHz
处理器二级缓存(KB) 4096KB
标配CPU数目 标配1个
最大CPU数目 最大4个
IBM System x3850 M2 7141I01 主板
总线频率(MHz) 1066MHz
主板扩展插槽 7个×PCI扩展插槽
IBM System x3850 M2 7141I01 内存
内存类型 4×1G DDR2 667
标配内存 4096M
IBM System x3850 M2 7141I01 存储
标配硬盘 HS SAS 0G
硬盘热插拔 4个热插拔架位
光驱 Combo光驱
IBM System x3850 M2 7141I01 网络与插槽
网卡 2×Giga Ethernet
IBM System x3850 M2 7141I01 机箱与电源
机箱尺寸 4U,172.8×443.6×720.2mm
电源 2个1440W电源
IBM System x3850 M2 7141I01 其它
监控与管理工具 IBM 远程管理卡(RSA II Slimline)
其它性能 2个Memory Card/Light Path/6个冷却风扇
六、用BOSON软件模拟实验
(一)拓扑图
在此我只在用三台PC,在一个部门(太多了的话会使得BOSON画出的图再次打开的时候变得很乱,根本无法配置,这可能是我们用的不是正版的Boson for ccnp的原因)。
图6.1 拓扑图
(二)具体的配置
1、核心交换机的配置(3550)
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host 3550
3550(config)#exit
3550#vlan database
3550(vlan)#vtp domain ecit
VTP domain ecit modified
3550(vlan)#vtp server
3550(vlan)#vlan 50 name Server_vlan
VLAN 50 added:
Name:Server_vlan
3550(vlan)#vlan 40 name vlan40
VLAN 40 added:
Name:vlan40
3550(vlan)#vlan 30 name vlan30
VLAN 30 added:
Name:vlan30
3550(vlan)#vlan 20 name vlan20
VLAN 20 added:
Name:vlan20
3550(vlan)#vlan 10 name vlan10
VLAN 10 added:
Name:vlan10
3550(vlan)#vlan 41 name vlan41
VLAN 41 added:
Name:vlan41
3550(vlan)#vlan 31 name vlan31
VLAN 31 added:
Name:vlan31
3550(vlan)#vlan 21 name vlan21
VLAN 21 added:
Name:vlan21
3550(vlan)#vlan 11 name vlan11
VLAN 11 added:
Name:vlan11
3550(vlan)#exit
APPLY completed.
Exiting....
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int f0/1
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#no shut
3550(config-if)#int f0/2
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#end
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int f0/3
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl //封装vlan通信协议
3550(config-if)#int f0/4
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/5
3550(config-if)#switchport mode trunk
3550(config-if)#w
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/6
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/7
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/8
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/10
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550#conf t //以下给各vlan添加IP地址
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int vlan 40
3550(config-if)#ip add 192.168.40.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 30
3550(config-if)#ip add 192.168.30.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 20
3550(config-if)#ip add 192.168.20.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 10
3550(config-if)#ip add 192.168.10.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 41
3550(config-if)#ip add 192.168.41.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 31
3550(config-if)#ip add 192.168.31.254 255.255.255.0
3550(config-if)#int vlan 21
3550(config-if)#ip add 192.168.21.254 255.255.255.0
3550(config-if)#int vlan 11
3550(config-if)#ip add 192.168.11.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#end
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#ip routing //打开IP路由
3550(config)#end
3550#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
2、其它二层交换机的配置
交换机2950、40、30、20、10、41、31、21、11上的配置类似,就是配置vtp client和帧中继,还有把相应的端口划分到相应的vlan,以下仅以40为例:
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host 40
40(config)#exit
40#vlan database
40(vlan)#vtp domain ecit
Changing VTP domain from NULL to ecit
40(vlan)#vtp client
40(vlan)#exit
APPLY completed.
Exiting....
40#conf t
Enter configuration commands, one per line. End with CNTL/Z.
40(config)#int f0/10
40(config-if)#switchport mode trunk
40(config-if)#int f0/1
40(config-if)#switchport access vlan 40
40(config-if)#int f0/2
40(config-if)#switchport access vlan 40
40(config-if)#int f0/3
40(config-if)#switchport mode access
40(config-if)#switchport access vlan 40
3、设置各PC的IP地址及网关
把PC的IP设在和相应vlan地址同一网段,网关就设为其相应vlan的IP就行了。
4、测试截图(在此只截一小部分图)
用PC401ping302和201图如下:
图6.2
图6.3
七、个人小结
1、在配置DNS服务器的时候,有同学问我如何配置备用DNS,当时我也没有帮他做出来,其实我自己也要配置,然后回到宿舍,我仔细看了一下书,看到了那个转发器的配置,就是这个了,一旦主DNS服务器不能正常工作的时候,就必须转发到备用DNS。
2、在用BOSON软件模拟配置实验的时候,装CCNP也花了我一些时间,因为之前没有用过CCNP,幸好还是装好了,第一次配置的时候(在我找到的资料中没有写到ip routing,也就是打开三层交换机的IP路由),我没有配置此项,导致不同vlan不能通信,然后我请教了一位QQ好友里的NA,我把我的配置都发给他看了一下,他就指导说少了打开三层交换机的IP路由,打开后各PC都可以通信。
八、参考文献资料
[1] 吴怡,《计算机网络配置、管理与应用-Windows Server 2003》,高等教育出版社,北京,2004年
[2] 石硕,林莉,卓志宏,李洛,《交换机/路由器及其配置(第2版)》,电子工业出版社,北京,2007年
[3] http://baike.baidu.com/view/1133379.htm
[4] http://blog.51cto.com/…………(51cto技术博客)
课程设计题目:中小企业网络服务的综合设计与实现
学生姓名:张平平
专 业:网络技术
班 级:061173
指导教师:李卫东老师
2008年 5月 31日
目 录
1课程设计的目的和意义……………………………………………2
2课程题目描述和任务要求…………………………………………2
3服务器的安装与配置具体步骤……………………………………6
4 网络方案设计………………………………………………………51
5 设备选型……………………………………………………………55
6 用BOSON软件模拟实验……………………………………………59
7 个人小结……………………………………………………………63
8 参考文献资料………………………………………………………64
一、 课程设计目的和意义
通过对《计算机网络配置、管理与应用-Windows Server 2003》课程的学习,我们已经对网络配置有一定程度的掌握,经过这一周的课程设计,让我们进一步地掌握网络配置方面的知识,正所谓学海无涯,同时温故而知新;课程设计就是学习过后的一个实践,学说不练也白搭,只有真正做出东西来了才算得上真正学到了东西,总之,课程设计就是为了温故知识,加以实践,更好地掌握网络配置相关的知识。
二、 课程设计题目描述和任务要求
中小企业网络服务的综合设计与实现,包括企业内部DHCP服务器、FTP服务器和DNS等服务器的安装与配置。具体来说就是给某中小企业网络规划各部门的IP地址,部署各种服务器,设计网络路由及Internet出口,划出相应网络拓朴结构图等
1、各部门IP地址和vlan的划分(子网掩码全部是24位)
服务器名 IP地址 网关
DHCP 192.168.50.10 192.168.50.254
DNS 192.168.50.20 192.168.50.254
FTP 192.168.50.30 192.168.50.254
Vlan ID Vlan name IP 备注
50 Server_vlan 192.168.50.254 服务器
40 Vlan40 192.168.40.254 总经理办公室
30 Vlan30 192.168.30.254 人力资源部
20 Vlan20 192.168.20.254 财务部
10 Vlan10 192.168.10.254 生产技术部
41 Vlan41 192.168.41.254 计划营销部
31 Vlan31 192.168.31.254 党群工作部
21 Vlan21 192.168.21.254 保卫部
11 Vlan11 192.168.11.254 后勤部
部门 IP地址 网关
总经理办公室 192.168.40.1-192.168.40.3 192.168.40.254
人力资源部 192.168.30.1-192.168.30.10 192.168.30.254
财务部 192.168.20.1-192.168.20.10 192.168.20.254
生产技术部 192.168.10.1-192.168.10.10 192.168.10.254
计划营销部 192.168.41.1-192.168.41.10 192.168.41.254
党群工作部 192.168.31.1-192.168.31.10 192.168.31.254
保卫部 192.168.21.1-192.168.21.10 192.168.21.254
后勤部 192.168.11.1-192.168.11.10 192.168.11.254
2、网络拓扑图及设计原则
(1)拓扑设计
局域网采用星型网络拓朴结构,星型拓朴结构为现在较为流行的一种网络结构,它是以一台中心处理机(通信设备)为主而构成的网络,其它入网机器仅与该中心处理机之间有直接的物理链路,中心处理机采用分时或轮询的方法为入网机器服务,所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理,因此,对中央节点的要求比较高。
优点是网络结构简单,易于维护,便于管理(集中式);每台入网机均需物理线路与处理机互连,线路利用率低;处理机负载重(需处理所有的服务),因为任何两台入网机之间交换信息,都必须通过中心处理机;入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。
局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机,商用机运行比较稳定,而且比较耐用,运算速度较快,较适于开发使用。
(2)设计原则
网络系统的建设在实用的前提下,应当在投资保护及长远性方面做适当考虑,在技术上、系统能力上要保持五年左右的先进性。并且从学校的利益出发,从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。
根据校园网的总体需求,结合对应用系统的考虑,本次网络建设的设计目标是:高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。
我们遵循以下的原则进行网络设计:
实用性和经济性
网络建设应始终贯彻面向应用,注重实效的方针,坚持实用、经济的原则,建设的万兆骨干网络平台,保护用户的投资。
先进性和成熟性
网络建设设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证贵校网络建设的领先地位,采用万兆以太网技术来构建网络主干线路。
可靠性和稳定性
在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间,锐捷网络做为国内知名品牌,网络领导厂商,其产品的可靠性和稳定性是一流的。
为了保证骨干网络平台的健壮性和链路冗余性,建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制,保证任何一条线路出现故障后骨干网络平台的可用性。
安全性和保密性
在网络设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括端口隔离、路由过滤、防DDoS拒绝服务***、防IP扫描、系统安全机制、多种数据访问权限控制等,锐捷网络充分考虑安全性,针对的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定(过滤)、ACL、路由过滤、防DDoS拒绝服务***、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。
可扩展性和可管理性
由于信息技术和人们对于新技术的需求发展都非常迅速,为了避免不必要的重复投资,我们必须选择具有一定扩展能力的设备,能够保证在网络规模逐渐扩大的时候,不需要增加新的设备,而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
为了适应网络结构变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护。为了便于扩展,对于核心设备必须采用模块化高密度端口的设备,便于将来升级和扩展。
先进的设备必须配合先进的管理和维护方法,才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品,达到全程网管,降低了人力资源的费用,提高网络的易用性、可管理性,同时又具有很好的可扩充性。
三、服务器的安装与配置具体步骤
*注:以下截图均从虚拟机上截得,我虚拟机上装的是Windows Server 2003
1、DHCP服务器
1.1 DHCP服务器的安装
在计算机上执行"开始"'"管理您的服务器"出现图1.1窗体
图1.1 管理您的服务器
图1.2 添加或删除角色
依图一步一步往下操作
图1.3 预备步骤
图1.4 选择服务器角色
在此选择DHCP服务器,下一步
图1.5 安装DHCP服务器
图1.6 欢迎使用新建作用 域向导
图1.7 新建作用域名
在此窗体的相处添加相就的文字,虚拟出一个"东华中学"教育机构
图1.8 新建作用域的IP地址范围
添加IP地址作用域范围:192.168.10.1-192.168.10.200,子网掩码24位
图1.9 "添加排除"对话框
如果要排除IP地址就可以在此添加,使得客户机上无法获得这些被排除的IP
图1.10 "租约期限"对话框
在此可以限制客户机所获得IP的租约期限,这个功能是很有用的,比如,一个新员工来上班,他在试用期表现挺好的,可是未必会被录用,那么这个功能就可以限制,只要把期限设到直到他出公司那天就行了,以后他再也不能得到那个IP地址了。
图1.11 "配置DHCP选项"对话框
图1.12 "跌幅器(默认网关)"对话框
图1.13 "域名称和DNS服务器"对话框
图1.14 "WINs服务器"对话框
这里我没有设置这一项,跳过了。
图1.15 "激活作用域"对话框
图1.16 "完成"对话框"
1.2 DHCP服务器的配置
图2.1 "添加服务器"和"管理授权的服务器"选择对话框
图2.2 选择添加服务器
图2.3 "管理授权的服务器"对话框
在此对话框可授权DHCP服务器,也可以解除授权。
图2.4 "常规"选项卡
图2.5 "DNS"选项卡
图2.6 "高级"选项卡
图2.7 "新建作用域向导"对话框
在安装DHCP服务器的时候已经创建了一个作用域,如果想再创建作用域就可以DHCP窗口中右击DHCP服务器,在弹出的快捷菜单中选择"新建作用域",随后就出现以上对话框,下一步创建作用域并为其添加IP地址范围(图2.8和图2.9)
图2.8 作用域名
图2.9 IP地址范围
其它的一些配置和安装DHCP的配置是一样的,如地址排除、租约期限等。
1.3 客户端的配置
客户端只需配置它自动获得IP地址就行了,打开本地连接,依次按以下图示进行操作就行了。
图2.10 本地连接
图2.11 本地连接属性
图2.12 获得IP方式
图2.13 DOS命令行
开始'运行'cmd'输入ipconfig,即可看到以上图示,此客户机动态获得了IP。
2、DNS服务器的安装与配置
2.1 DNS服务器的安装
刚开始的几步和DHCP服务器的安装是类似的:选择服务器角色
图3.1 选择所要安装的服务器
图3.2 选择配置操作:关于正反向查找区域的选择
图3.3选择是否要创建正向查找区域,这一步是很重要的,特别是对于一些中大型网络
图3.4 添加新建区域名称
图3.5
动态更新,这一步对于安全方面来说是非常重要的
图3.6 反向查找区域的建立
图3.7 反向查找区域动态更新
图3.8 系统收集根提示
2.2 配置DNS服务器
图3.9 开始-'管理工具-'DNS,就打开以上对话框,然后进行DNS服务器属性的配置
图3.10 "接口"选项卡
右击所要配置的DNS服务器属性,以下一一对接口,转发器等一系列的选项卡进行配置
图3.11 "转发器"选项卡
这个选项非常重要,一旦这台DNS服务器不能提供DNS服务的时候就必须将DNS服务转发给备用DNS服务器提供,这就需要在此设置。
图3.12 以上对话框也很重要,如果设置的时间太长那就需要很大的硬盘空间,而太短了,在服务器出问题后的排除问题就要查看记录,查看时可能就没有出问题原因的记录,所以这个得设置得当。
图3.13 根提示
图3.14 调试日志
图3.15 事件日志
图3.16 设置所要记录的东西,按以上对话框选择。
图3.17 "安全"选项卡
这是一个非常重要的属性,在这里设置用户的操作权限,若设置不当,可能无法访问,也可能用户可以修改,企业老板当然不希望谁都可以修改,这就需要在此设置适当。
3 安装和配置Web服务及FTP服务
3.1 安装Web服务及FTP服务
图4.1 选择服务器角色
图4.2 应用程序服务器选项
图4.3 总结所选择的项目
图4.5
图4.6 显示正在配置组件
图4.7
图4.8
图4.9 新建网站
图4.10
图4.11 输入网站描述
图4.12 输入网站的IP地址及端口号
不同的网站可以设置相同的IP地址,但是TCP端口必须设置不同
图4.13 浏览到所建网站的主目录路径
图4.14 设置网站访问的权限
图4.15
图4.16 网站属性对话框
图4.17 高级网站标识
图4.18 "性能"对话框
图4.19 "主目录"对话框
在本地路径中浏览找到index首页的地址,还可以设置客户端用户对网页的操作权限
3.2 FTP服务器的安装和配置
图5.1
图5.2
图5.3 选择所要安装的FTP服务
图5.4 选择所要安装的FTP服务
图5.5
图5.6
图5.7 输入所建网站的IP地址和端口号
图5.8 在此窗体可以查看已连接的用户
图5.9 选择新日志计划,多长时间记录一次
图5.10 日志记录属性
图5.11 设置匿名连接的用户名和密码
图5.12 设置FTP站点消息
图5.13 设置FTP站点目录路径和客户端操作权限
图5.14 TCP/IP地址访问限制,可以设置一些IP不能访问此FTP站点
图5.15 新建站点
图5.16 输入网站描述
图5.17 输入FTP站点IP和TCP端口
图5.18 FTP用户隔离
图5.19 设置FTP主目录
图5.20 设置FTP站点访问权限
3.3 客户端查看FTP站点
(1)用IE浏览器查看,直接在地址栏输入所建站点的IP,如"ftp://192.168.10.100/".。
图5.21
(2)用DOS命令查看,如下图所示
图5.22
四、网络方案设计
(一)网络结构分析
1.骨干层
核心交换机建议采用cisco3550核心路由交换机即可。可以根据用户的需求灵活配置,灵活构建弹性可扩展的网络。
2.接入层
接入层网络由楼栋交换节点和楼层交换节点组成,接入层网络应该可以满足各种客户的接入需要,而且能够实现客户化的接入策略,业务QOS保证,用户接入访问控制等等。
楼层交换节点采用cisco2950交换机。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管。
3.出口
采用路由器 + 防火墙的方式,起到如下作用:
防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性;路由器提供出口路由功能,数据处理能力强,具有强大的NAT功能。
(二)网络架构设计
基于目前企业规模及发展的角度考虑,骨干网络采用单核心双引擎或双核心单引擎的拓扑结构,保证核心的稳定;在两栋办公楼采用万兆的三层汇聚设备,楼层千兆连接接入交换机;服务器千兆接入到核心交换机上;百兆到桌面;
为了以后扩展的需要,所以采用RG-WALL 1000防火墙,并将校内的对外服务器与防火墙的DMZ区相连,保证良好的安全性;同时双核心时做VRRP,防火墙双百兆连接核心,单百兆连接Internet;
出于管理和安全方面角度考虑,在全网可采用IP+MAC绑定方式,全网分布式采用ACL,并按照部门划分VLAN,划分相应的权限。
(三)扩展的考虑
备份线路带宽扩展:在未来升级考虑中,可将核心与汇聚间千兆备份线路带宽升级至10G带宽,以提高备份线路的连接带宽。
楼层交换机可扩充为96个千兆口,拥有很强的接入扩展功能。
(四)网络VLAN的设计
在企业网络的整个网络规划当中,VLAN 的划分是非常重要的部分,很好的利用VLAN技术的功能,能起到事半功倍的效果,对整个网络的性能也是事关重要的。主要突出为以下几点:
VLAN 划分,可以避免广播风暴,在骨干网络中尤为突出,在多媒体、视频点播等很容易引起广播信息;划分之后,VLAN 是广播只在子网中进行,不会做无意义的广播,消除了广播风暴产生的条件。
VLAN 划分,可以增加网络的安全性,在不同的VLAN之间不能随意通讯,只限与本子网间通讯,不会对其他的子网产生干扰。要进行访问,需要通过三层交换,这样信息流就得到相当好的控制。
网络管理系统采用完全独立的IP子网和VLAN,实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。
提高管理效率,实现虚拟的工作组,减少站点的移动和改变的开销。
VLAN 间的子网访问,可以在三层交换机上实现,子网间的通讯也可以在汇聚设备上实行,分流核心交换机的三层交换,优化了组网。
根据以往网络管理经验和骨干网络网络建设的实际情况,方案建议在骨干网络VLAN划分规划以"灵活划分、方便管理"为基本原则,以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有:
1、方便管理。为了更好的进行VLAN规划的实施,因此在网络实施前期,要对网络中不同区域的VLAN设置进行详细的规划,细化到接入层网络,这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话,避免由于前期配置设备时复杂烦琐,而且由于相同的用户群体可能在不同的物理位置,导致造成整个校园网络中VLAN划分复杂,减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划,这样既可以减少广播域,又达到划分VLAN,方便管理的效果,对于后期网络维护和升级具有十分现实的意义。
2、易于实施。按群体划分VLAN在工程实施中就十分的方便,不会造成VLAN划分复杂失误而使得网络出现不通的现象,便于工程快速实施和网络中心整体规划。
3、VLAN间路由采用三层交换设备进行VLAN路由。以便不同VLAN间进行访问,对于学校重要网络资源,需要进行权限访问的时候,建议采用专家级ACL(可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL)来进行访问权限设定,保障重要资料不被非法访问。
(五)网络QoS设计
为确保用户各种关键业务的正常开展,必须采取全面而系统的QoS设计(提供端到端QoS服务),以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时;为了保证端到端用户的服务质量,因此要求端到端数据流经的所有网络设备都支持实施的QoS策略,核心设备是多个服务器接入的设备,并且担负着全网数据的交换,QoS的能力影响着全网的服务质量保障能力。
例如,将下载一个大型文件的任务设置到交换机一个端口,而在该交换机的另外一个端口进行语音通信,为减少语音通信时延,保证通话质量,可在整个网络中对各种业务进行分类和优先级划分。例如Web浏览,可以作为低优先级对待,或者"尽力而为"地进行处理。
如图所示:QoS工作原理
在骨干网络网络中,由于信息资源集中于骨干网络网络中心,为保证全网的QoS,要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案,而二层的802.1P标记对于骨干网络这样的网络并没有实际意义,因为802.1P的标记不能在交换机之间传递,只能在本机上有用。
通过从核心到接入设备全程对QoS的良好支持,全部硬件提供二到四层数据流交换,实现应用感知的功能,给予多媒体办公应用提供透明的QoS保障,确保真正的端到端的QoS的实现。
(六)网络安全设计
构建全程全网的访问控制体系是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。
1.接入安全
思科 WS-C3750-12S-S智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,思科 WS-C3750-12S-S系列在网络或城域接入边缘实现了智能服务。
2.访问安全
思科 WS-C3750-12S-S多业务万核心路由交换机支持802.1Q VLAN,可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术,可实现跨校区的VLAN功能。并且锐捷RG-S6800E多业务万兆核心路由交换机支持完善的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。
ACLs的全称为接入控制列表(Access Control Lists),可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数据流通过交换机时对其进行分类过滤,并对从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。
3.病毒防御
cisco网络设备,能够提供病毒防御功能,使得某些特定病毒不能任意传播。主要提供以下几个功能:1)预防PC感染类似"冲击波、震荡波"的病毒;2)如果某台机器感染病毒,能够实现中毒机器隔离,限制同一网段中病毒的传播。3)支持防止DDoS***,防止IP段恶意扫描等抗***特性。
五、设备选型
(一)路由器的选择
思科 3825-DC 基本参数
产品型号 3825-DC
产品类型 模块化,企业级,集成多业务路由器
包转发率 10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps
外形尺寸 373.38×434.34×88.9mm
重量 9.06Kg
思科 3825-DC 硬件参数
处理器 RISC QED RM5271 225MHz
DRAM内存 1024MB
Flash内存 256MB
固定广域网接口 可选
固定局域网接口 2 个千兆位以太网
控制端口 Console
扩展插槽 有,1个 SFP插槽,2个NMEs,4个HWIC,2个AIM 插槽,4个 PVDM插槽
思科 3825-DC 网络与软件
网络管理 支持SNMP管理,Cisco ClickStart
*** 支持
QoS 支持
内置防火墙 有
认证标准 UL 60950:CAN/CSA C22.2 No.60950,IEC 60950,EN 60950-1,AS/NZS 60950
思科 3825-DC 其它参数
电源电压 24-60 VDC
最大功率 300W
(二)交换机的选择
思科 WS-C3750-12S-S 详细参数
思科 WS-C3750-12S-S 基本参数
产品型号 WS-C3750-12S-S
产品类型 企业级,三层,可网管型交换机
传输方式 存储转发方式
包转发率 10 Mbps: 14,880 pps,100 Mbps: 148,810 pps ,1000 Mbps: 1,488,100 pps
外形尺寸 445×301×44mm
重量 3.6Kg
思科 WS-C3750-12S-S 硬件参数
接口类型 10/100/1000BASE-T端口
接口数目 12口
传输速率 10M/100M/1000Mbps
模块化插槽数 12
堆叠 可堆叠
思科 WS-C3750-12S-S 网络与软件
支持网络标准 IEEE 802.3, 802.3u, 802.3x, 802.3ab
VLAN支持 支持
网管功能 支持
是否支持全双工 支持
思科 WS-C3750-12S-S 其它参数
电源电压 200-240
最大功率 42W
(三)防火墙
思科 ASA5510-K8 详细参数
思科 ASA5510-K8 基本参数
产品型号 ASA5510-K8
产品类型 企业级,***防火墙
最大吞吐量 300Mbps
安全过滤带宽 170Mbps
外形尺寸 174.5×200.4×44.5mm
重量 1.8Kg
思科 ASA5510-K8 硬件参数
固定接口 3个快速以太网接口
扩展插槽 1个SSC扩展插槽
思科 ASA5510-K8 网络与软件
用户数限制 无用户数限制用户
并发连接数 130000并发连接数
*** 支持
认证标准 DES许可证
功能特点 控制端口:console
思科 ASA5510-K8 其它参数
电源电压 100-240VAC,50/60Hz
(四)服务器
IBM System x3850 M2 7141I01 详细参数
IBM System x3850 M2 7141I01 基本资料
产品型号 System x3850 M2 7141I01
产品类型 4U机架式
上市时间 2008年
IBM System x3850 M2 7141I01 处理器
处理器 Intel Xeon MP E7310 1.6G
处理器主频(MHz) 1600MHz
处理器二级缓存(KB) 4096KB
标配CPU数目 标配1个
最大CPU数目 最大4个
IBM System x3850 M2 7141I01 主板
总线频率(MHz) 1066MHz
主板扩展插槽 7个×PCI扩展插槽
IBM System x3850 M2 7141I01 内存
内存类型 4×1G DDR2 667
标配内存 4096M
IBM System x3850 M2 7141I01 存储
标配硬盘 HS SAS 0G
硬盘热插拔 4个热插拔架位
光驱 Combo光驱
IBM System x3850 M2 7141I01 网络与插槽
网卡 2×Giga Ethernet
IBM System x3850 M2 7141I01 机箱与电源
机箱尺寸 4U,172.8×443.6×720.2mm
电源 2个1440W电源
IBM System x3850 M2 7141I01 其它
监控与管理工具 IBM 远程管理卡(RSA II Slimline)
其它性能 2个Memory Card/Light Path/6个冷却风扇
六、用BOSON软件模拟实验
(一)拓扑图
在此我只在用三台PC,在一个部门(太多了的话会使得BOSON画出的图再次打开的时候变得很乱,根本无法配置,这可能是我们用的不是正版的Boson for ccnp的原因)。
图6.1 拓扑图
(二)具体的配置
1、核心交换机的配置(3550)
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host 3550
3550(config)#exit
3550#vlan database
3550(vlan)#vtp domain ecit
VTP domain ecit modified
3550(vlan)#vtp server
3550(vlan)#vlan 50 name Server_vlan
VLAN 50 added:
Name:Server_vlan
3550(vlan)#vlan 40 name vlan40
VLAN 40 added:
Name:vlan40
3550(vlan)#vlan 30 name vlan30
VLAN 30 added:
Name:vlan30
3550(vlan)#vlan 20 name vlan20
VLAN 20 added:
Name:vlan20
3550(vlan)#vlan 10 name vlan10
VLAN 10 added:
Name:vlan10
3550(vlan)#vlan 41 name vlan41
VLAN 41 added:
Name:vlan41
3550(vlan)#vlan 31 name vlan31
VLAN 31 added:
Name:vlan31
3550(vlan)#vlan 21 name vlan21
VLAN 21 added:
Name:vlan21
3550(vlan)#vlan 11 name vlan11
VLAN 11 added:
Name:vlan11
3550(vlan)#exit
APPLY completed.
Exiting....
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int f0/1
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#no shut
3550(config-if)#int f0/2
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#end
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int f0/3
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl //封装vlan通信协议
3550(config-if)#int f0/4
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/5
3550(config-if)#switchport mode trunk
3550(config-if)#w
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/6
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/7
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/8
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550(config-if)#int f0/10
3550(config-if)#switchport mode trunk
3550(config-if)#switchport trunk encapsulation isl
3550#conf t //以下给各vlan添加IP地址
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#int vlan 40
3550(config-if)#ip add 192.168.40.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 30
3550(config-if)#ip add 192.168.30.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 20
3550(config-if)#ip add 192.168.20.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 10
3550(config-if)#ip add 192.168.10.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 41
3550(config-if)#ip add 192.168.41.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#int vlan 31
3550(config-if)#ip add 192.168.31.254 255.255.255.0
3550(config-if)#int vlan 21
3550(config-if)#ip add 192.168.21.254 255.255.255.0
3550(config-if)#int vlan 11
3550(config-if)#ip add 192.168.11.254 255.255.255.0
3550(config-if)#no shut
3550(config-if)#end
3550#conf t
Enter configuration commands, one per line. End with CNTL/Z.
3550(config)#ip routing //打开IP路由
3550(config)#end
3550#copy run start
Destination filename [startup-config]?
Building configuration...
[OK]
2、其它二层交换机的配置
交换机2950、40、30、20、10、41、31、21、11上的配置类似,就是配置vtp client和帧中继,还有把相应的端口划分到相应的vlan,以下仅以40为例:
Switch>
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host 40
40(config)#exit
40#vlan database
40(vlan)#vtp domain ecit
Changing VTP domain from NULL to ecit
40(vlan)#vtp client
40(vlan)#exit
APPLY completed.
Exiting....
40#conf t
Enter configuration commands, one per line. End with CNTL/Z.
40(config)#int f0/10
40(config-if)#switchport mode trunk
40(config-if)#int f0/1
40(config-if)#switchport access vlan 40
40(config-if)#int f0/2
40(config-if)#switchport access vlan 40
40(config-if)#int f0/3
40(config-if)#switchport mode access
40(config-if)#switchport access vlan 40
3、设置各PC的IP地址及网关
把PC的IP设在和相应vlan地址同一网段,网关就设为其相应vlan的IP就行了。
4、测试截图(在此只截一小部分图)
用PC401ping302和201图如下:
图6.2
图6.3
七、个人小结
1、在配置DNS服务器的时候,有同学问我如何配置备用DNS,当时我也没有帮他做出来,其实我自己也要配置,然后回到宿舍,我仔细看了一下书,看到了那个转发器的配置,就是这个了,一旦主DNS服务器不能正常工作的时候,就必须转发到备用DNS。
2、在用BOSON软件模拟配置实验的时候,装CCNP也花了我一些时间,因为之前没有用过CCNP,幸好还是装好了,第一次配置的时候(在我找到的资料中没有写到ip routing,也就是打开三层交换机的IP路由),我没有配置此项,导致不同vlan不能通信,然后我请教了一位QQ好友里的NA,我把我的配置都发给他看了一下,他就指导说少了打开三层交换机的IP路由,打开后各PC都可以通信。
八、参考文献资料
[1] 吴怡,《计算机网络配置、管理与应用-Windows Server 2003》,高等教育出版社,北京,2004年
[2] 石硕,林莉,卓志宏,李洛,《交换机/路由器及其配置(第2版)》,电子工业出版社,北京,2007年
[3] http://baike.baidu.com/view/1133379.htm
[4] http://blog.51cto.com/…………(51cto技术博客)
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐