A网络公司中标某地市B科技园区综合网络设计项目,B科技园区为当地重点工程,3年内将有多家中小微企业陆续入住。根据项目总体规划,A网络公司项目负责人前期调研如下基本情况。
1. 网络架构规划
整体网络设计采用3层式规划设计
1)、 核心层
考虑到设计复杂度及成本问题,计划在核心层部署2台核心三层交换机,负责转发内部用户的流量,并且充当内部用户的网关,从而实现内部不同网段的用户之间的连通性。在两台核心交换机之间运行HSRP(热备份路由器协议是cisco平台一种特有的技术,是cisco的私有协议)网关备份协议,一台核心交换机作为用户的主网关,另一台核心交换机充当用户的备份网关,主核心交换机的任务是负责转发流量。只有当核心主网关出现故障、死机的情况的下,备份核心交换机才会转发流量。核心交换机之间通过两条线路进行互联,通过配置端口聚合,来增加链路带宽,上连出口路由器,核心层和出口路由器之间都通过动态路由协议,实现网络快速收敛,通过OSPF动态协议保证网络的连通性和可扩展性。
2)、 汇聚层
汇聚层下连接入交换机,上连核心交换机,通过对接入层设备流量进行汇总后转发到核心层,有效避免了接入流量过大导致对核心设备造成冲击,减少了对核心设备端口资源的使用。汇聚交换机通过双链路上连核心交换机,为了防止产生环路,通过STP生成树协议来保证网络的冗余。
3)、 接入层
接入层一般下连用户终端,像PC机、打印机、无线接入点和服务器等。在接入层交换机默认的端口类型为access,假设内部需要划分多个vlan,则要将与用户终端连接的端口划分到对应的某个VLAN,而和交换机互连接口的话需要配置为TRUNK模式。
企业内部有多个部门,需要规划和创建多个VLAN。不同部门的与接入层交换机、与终端相连接的端口必须划分到相应的VLAN,上连核心层交换机的端口需要配置为TRUNK模式,并配置对应的VLAN通过。
2. IP地址规划和VLAN划分
参考IP地址规划 VLAN VLA描述 IP地址 子网掩码 网关 VLAN 101 人事部 192.168.101.0 255.255.255.0 192.168.101.254 VLAN 102 市场部 192.168.102.0 255.255.255.0 192.168.102.254 VLAN 103 科研部 192.168.103.0 255.255.255.0 192.168.103.254 VLAN 104 信息部 192.168.104.0 255.255.255.0 192.168.104.254 VLAN 105 行政部 192.168.105.0 255.255.255.0 192.168.105.254 VLAN 106 销售部 192.168.106.0 255.255.255.0 192.168.106.254 VLAN 107 财务部 192.168.107.0 255.255.255.0 192.168.107.254
3. 基础设备选型
网络设备的选择要根据企业自身的实际情况进行,最佳方案是既能够满足企业网设计需求,同时又价格低廉。因此在选择设备时要多方面考虑,站在企业的立场进行思考,以企业利益的最大化为主,通过在互联网上查找比对,网络商城进行价格的比对,具体选择的设备如下表:
| 参考网络设备选型 | |||
|---|---|---|---|
| 品牌 | 设备型号 | 设备类型 | 数量 |
| Cisco | WS-C2960-24TT | 接入层交换机 | 7 |
| Cisco | WS-C3560-24PS-E | 汇聚层交换机 | 4 |
| Cisco | WS-C3560-24PS-E | 核心层交换机 | 2 |
| Cisco | 2811 | 出口路由器 | 1 |
| Cisco | ASA-5505 | 防火墙 | 1 |
4. 网络设计
1)、接入交换机配置
在接入层为了隔离广播域,防止广播风暴的发生,企业不同部门需要划分到不同的VLAN。首先要在接入层交换机上创建VLAN,然后基于端口进行划分,并将用户加入到相应的VLAN中。将接入层交换机与上连交换机的互连端口配置为中继端口模式,并且能够允许所有的VLAN通过。下面以人事部接入交换机为例:
Switch (config)#vlan 101
Switch (config-vlan)#int fa0/1
Switch (config-if-range)#switchport mode trunk
Switch (config-if-range)#switchport trunk allowed vlan all
Switch (config-vlan)#int range f0/1 - 20
Switch (config-if-range)#switchport mode access
Switch (config-if-range)#switchport access vlan101、
2)、汇聚交换机配置
汇聚层交换机上同样要创建相应的VLAN,与交换机互连的端口配置为中继模式,接下来用人事部汇聚交换机配置为例:
Huiju_SW_01 (config)#vlan 101
Huiju_SW_01 (config)#vlan 102
Huiju_SW_01 (config)#vlan 103
Huiju_SW_01 (config)#vlan 104
Huiju_SW_01 (config)#vlan 105
Huiju_SW_01 (config)#vlan 106
Huiju_SW_01 (config)#vlan 107
Huiju_SW_01 (config-vlan)#int ra f0/1-4
Huiju_SW_01 (config-if-range)#switchport mode trunk
3)、核心交换机配置
核心交换机需要部署两台,在核心交换机之间配置双链路互联,并通过port-channel增加链路带宽,配置HSRP协议实现网关备份,汇聚交换机和核心交换机之间采用STP生成树协议避免产生环路,实现了链路冗余。在核心交换机上配置ACL来限制不同区域之间的访问,路由协议配置ospf动态路由协议实现全网互通。以主核心交换机配置为例:
Core_SW_01 (config)#vlan 101
Core_SW_01 (config)#vlan 102
Core_SW_01 (config)#vlan 103
Core_SW_01 (config)#vlan 104
Core_SW_01 (config)#vlan 105
Core_SW_01 (config)#vlan 106
Core_SW_01 (config)#vlan 107
Core_SW_01 (config)#spanning-tree vlan 100-107 priority 24576
Core_SW_01 (config)#interface GigabitEthernet0/1
Core_SW_01 (config-if)#channel-group 1 mode on
Core_SW_01 (config-if)#switchport trunk encapsulation dot1q
Core_SW_01 (config-if)#switchport mode trunk
Core_SW_01 (config)#interface GigabitEthernet0/2
Core_SW_01 (config-if)#channel-group 1 mode on
Core_SW_01 (config-if)#switchport trunk encapsulation dot1q
Core_SW_01 (config-if)#switchport mode trunk
Core_SW_01 (config-vlan)#int ra f0/2-6
Core_SW_01 (config-if-range)#switchport mode trunk
Core_SW_01 (config)#interface vlan101 //hsrp以vlan101配置为例
Core_SW_01 (config-if)#ip address 192.168.1.252 255.255.255.0
Core_SW_01 (config-if)#ip access-group 101 in
Core_SW_01 (config-if)#ip helper-address 192.168.100.1
Core_SW_01 (config-if)#standby 0 ip 192.168.1.25
Core_SW_01 (config-if)#standby 0 priority 120
Core_SW_01 (config-if)#standby 10 preempt
Core_SW_01 (config)#router ospf 100
Core_SW_01 (config-if)#network 192.168.1.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.2.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.3.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.4.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.5.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.100.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 10.1.1.0 0.0.0.3 area 0
Core_SW_01 (config-if)#network 192.168.6.0 0.0.0.255 area 0
Core_SW_01 (config-if)#network 192.168.7.0 0.0.0.255 area 0
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 echo //限制人事部门访问其他区域
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 echo
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 echo
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 echo
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.6.0 0.0.0.255 echo
Core_SW_01 (config)#access-list 101 deny icmp 192.168.1.0 0.0.0.255 192.168.7.0 0.0.0.255 echo
Core_SW_01 (config)#access-list 101 permit ip any any
其他配置具体参照课堂老师讲解
视频教程
项目简介
项目架构
技术栈
项目实施
1. 网络架构规划