Linux

红星科技园区网络规划设计

更新时间:2020.8.16 视频教程
PROJECT LIBRARY

[ 项目实施 ]

网络架构规划

 

整体网络设计采用3层式规划设计

1)、核心层

考虑到设计复杂度及成本问题,计划在核心层部署2台核心三层交换机,负责转发内部用户的流量,并且充当内部用户的网关,从而实现内部不同网段的用户之间的连通性。在两台核心交换机之间运行HSRP(热备份路由器协议是cisco平台一种特有的技术,是cisco的私有协议)网关备份协议,一台核心交换机作为用户的主网关,另一台核心交换机充当用户的备份网关,主核心交换机的任务是负责转发流量。只有当核心主网关出现故障、死机的情况的下,备份核心交换机才会转发流量。核心交换机之间通过两条线路进行互联,通过配置端口聚合,来增加链路带宽,上连出口路由器,核心层和出口路由器之间都通过动态路由协议,实现网络快速收敛,通过OSPF动态协议保证网络的连通性和可扩展性。

2)、汇聚层

汇聚层下连接入交换机,上连核心交换机,通过对接入层设备流量进行汇总后转发到核心层,有效避免了接入流量过大导致对核心设备造成冲击,减少了对核心设备端口资源的使用。汇聚交换机通过双链路上连核心交换机,为了防止产生环路,通过STP生成树协议来保证网络的冗余。

3)、接入层

接入层一般下连用户终端,像PC机、打印机、无线接入点和服务器等。在接入层交换机默认的端口类型为access,假设内部需要划分多个vlan,则要将与用户终端连接的端口划分到对应的某个VLAN,而和交换机互连接口的话需要配置为TRUNK模式。

企业内部有多个部门,需要规划和创建多个VLAN。不同部门的与接入层交换机、与终端相连接的端口必须划分到相应的VLAN,上连核心层交换机的端口需要配置为TRUNK模式,并配置对应的VLAN通过。

IP地址规划和VLAN划分

 

基础设备选型

 

网络设备的选择要根据企业自身的实际情况进行,最佳方案是既能够满足企业网设计需求,同时又价格低廉。因此在选择设备时要多方面考虑,站在企业的立场进行思考,以企业利益的最大化为主,通过在互联网上查找比对,网络商城进行价格的比对,具体选择的设备如下表:

网络设计

 

1)、接入交换机配置

在接入层为了隔离广播域,防止广播风暴的发生,企业不同部门需要划分到不同的VLAN。首先要在接入层交换机上创建VLAN,然后基于端口进行划分,并将用户加入到相应的VLAN中。将接入层交换机与上连交换机的互连端口配置为中继端口模式,并且能够允许所有的VLAN通过。下面以人事部接入交换机为例:

Switch (config)#vlan 101

Switch (config-vlan)#int fa0/1

Switch (config-if-range)#switchport mode trunk

Switch (config-if-range)#switchport trunk allowed vlan all

Switch (config-vlan)#int range f0/1 - 20

Switch (config-if-range)#switchport mode access

Switch (config-if-range)#switchport access vlan101、

2)、汇聚交换机配置

汇聚层交换机上同样要创建相应的VLAN,与交换机互连的端口配置为中继模式,接下来用人事部汇聚交换机配置为例:

Huiju_SW_01 (config)#vlan 101

Huiju_SW_01 (config)#vlan 102

Huiju_SW_01 (config)#vlan 103

Huiju_SW_01 (config)#vlan 104

Huiju_SW_01 (config)#vlan 105

Huiju_SW_01 (config)#vlan 106

Huiju_SW_01 (config)#vlan 107

Huiju_SW_01 (config-vlan)#int ra f0/1-4

Huiju_SW_01 (config-if-range)#switchport mode trunk

3)、核心交换机配置

核心交换机需要部署两台,在核心交换机之间配置双链路互联,并通过port-channel增加链路带宽,配置HSRP协议实现网关备份,汇聚交换机和核心交换机之间采用STP生成树协议避免产生环路,实现了链路冗余。在核心交换机上配置ACL来限制不同区域之间的访问,路由协议配置ospf动态路由协议实现全网互通。以主核心交换机配置为例:

Core_SW_01 (config)#vlan 101

Core_SW_01 (config)#vlan 102

Core_SW_01 (config)#vlan 103

Core_SW_01 (config)#vlan 104

Core_SW_01 (config)#vlan 105

Core_SW_01 (config)#vlan 106

Core_SW_01 (config)#vlan 107

Core_SW_01 (config)#spanning-tree vlan 100-107 priority 24576

Core_SW_01 (config)#interface GigabitEthernet0/1

Core_SW_01 (config-if)#channel-group 1 mode on

Core_SW_01 (config-if)#switchport trunk encapsulation dot1q

Core_SW_01 (config-if)#switchport mode trunk

Core_SW_01 (config)#interface GigabitEthernet0/2

Core_SW_01 (config-if)#channel-group 1 mode on

Core_SW_01 (config-if)#switchport trunk encapsulation dot1q

Core_SW_01 (config-if)#switchport mode trunk

Core_SW_01 (config-vlan)#int ra f0/2-6

Core_SW_01 (config-if-range)#switchport mode trunk

Core_SW_01 (config)#interface vlan101 //hsrp以vlan101配置为例

Core_SW_01 (config-if)#ip address 192.168.1.252 255.255.255.0

Core_SW_01 (config-if)#ip access-group 101 in

Core_SW_01 (config-if)#ip helper-address 192.168.100.1

Core_SW_01 (config-if)#standby 0 ip 192.168.1.25

Core_SW_01 (config-if)#standby 0 priority 120

Core_SW_01 (config-if)#standby 10 preempt

Core_SW_01 (config)#router ospf 100

Core_SW_01 (config-if)#network 192.168.1.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.2.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.3.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.4.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.5.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.100.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 10.1.1.0 0.0.0.3 area 0

Core_SW_01 (config-if)#network 192.168.6.0 0.0.0.255 area 0

Core_SW_01 (config-if)#network 192.168.7.0 0.0.0.255 area 0

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo //限制人事部门访问其他区域

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echo

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 echo

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 echo

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255 echo

Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.7.0 0.0.0.255 echo

Core_SW_01 (config)#access-list 101 permit ip any any

其他配置具体参照课堂老师讲解