***
学院
毕题 目: 专 业: 班 级: 学 号: 姓 名: 指导教师: 业 设 计
***网络设计与实现 *** ***班
*** ***
***学院***系 二零***年***月
***学院***系毕业设计评语
题目: ***网络设计与实现 专业: 班级:
姓名: *** 学号:
目 录
1 摘 要 . ................................... 错误!未定义书签。 2 需求分析 . .................................................... 4
2.1企业概况 . ................................................................................................. 4
2.2企业建网目标 . ......................................................................................... 4 2.3 LAN信息点分布 .................................................................................... 4 3 方案设计原则 . ................................................ 5 4 网络方案设计 . ................................................ 6
4.1 网络拓扑结构介绍 . ................................................................................ 6
4.1.1汇聚层网络设计 .................................... 6 4.1.2接入层网络设计 .................................... 6 4.2 网络拓扑图 . ............................................................................................ 7 4.3 IP地址规划和VLAN 划分 . ................................................................... 7
4.3.1 IP地址规划 ....................................... 7 4.3.2 VLAN划分 ......................................... 9 5 网络技术选型 . ............................................... 11
5.1 以太网技术 . .......................................................................................... 11 5.2 VLAN技术............................................................................................ 11 5.3 NAT技术 . .............................................................................................. 12 5.4 ACL技术 . .............................................................................................. 13 6 网络设备选择和性能 . ......................................... 15
6.1 汇聚层设备 . .......................................................................................... 15
6.2 接入层设备 . .......................................................................................... 16 6.3 路由器设备 . .......................................................................................... 17 6.4 防火墙设备 . .......................................................................................... 17 7 网络设备的配置 . ............................................. 18
7.1 VLAN配置............................................................................................ 18 7.2 动态NAT 具体配置 . ............................................................................ 18 7.3 路由器、交换机IP 配置 ..................................................................... 19 7.4 ACL配置 . .............................................................................................. 20 结 论 . ........................................................ 24 致 谢 . ........................................................ 25 参 考 文 献 . ................................................... 26
1 摘 要
***网络设计与实现
主要讨论的是如何组建中小经济型千兆企业网,内容主要包括各种局域网的技术思想、网络拓扑结构、线缆布线、网络安全等内容。论文中涉及的网络技术有以太网技术、VLAN 技术、NAT 技术和ACL 技术。并且针对所涉及的技术选择了设备,写出了设备的具体配置命令。网络拓扑图采用的是星型结构,由于考虑到时中小型企业,所以没有用到核心交换机,只用到汇聚层交换机和接入层交换机,并通过路由器和防火墙连接到外网。
关键词 企业网 交换机 路由器
Abstract
The main discussion is how to set up the small and medium-sized enterprise economical gigabit network, content includes various LAN technology ideas, topological structure of the network, cabling, network security and other content. Thesis network technology have Ethernet technology, VLAN technology, NAT technology and ACL technology. And in view of the techniques involved in choosing equipment, write device-specific configuration command. Network topology is used in star structure, considering that small and medium enterprises, so did not use the core switch, only to the convergence layer and access layer switch switches, and through the router and firewall is connected to the internet.Enterprise network switches routers.
Keyword :Enterprise network Switches Routers
2 需求分析
2.1企业概况
公司员工约100人,公司主要部门有研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部。
公司大概的电脑分配情况为研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部电脑各约10余台,总经办2-3台电脑。由于公司规模较小,所有部门可以都在同一层上,也可以分布在两层,所以不需要考虑建筑物分布情况。
企业正在发展,设备有待扩充,所以本方案要求有利于以后的网络扩建。
2.2企业建网目标
1、采用经济、实用的网络通信技术完成企业网的建设,公司内部之间与内外之间的信息访问;
2、在公司实现部分资源共享、产品信息共享、实时新闻发布; 3、给予公司高层与员工之间的特殊的访问权限:
制造部、设备部vlan 实现互访,禁止访问其它部门vlan
制造部、设备部上班时间禁止访问internet(8:00-12:00,2:00-6:00) 研发中心、质保部vlan 实现互访,禁止访问其它部门vlan 财务部vlan 实现与采购部、销售部vlan 的单向访问 总经办vlan 实现与财务部、管理部vlan 的单向访问 管理部vlan 禁止访问其它部门vlan 各部门vlan 都能访问服务器区
2.3 LAN信息点分布
企业有100余个信息点,各部门的信息点相当,研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部各10余个信息点,总经办2、3个信息点。
3 方案设计原则
1、适用性原则:该企业网主要是为企业提供各项服务和管理,建成的网络必须具有较高的实用性。系统总体功能设计时要充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性,把满足用户业务管理作为第一要素进行考虑。
2、先进性原则:论文中采用的以太网、VLAN 等技术都是当今国际、国内最先进成熟的网络技术和计算机技术,使新建立的企业网系统能够最大限度地适应今后技术发展变化和业务发展变化的需要。
3、安全性原则:企业网安全包括网络安全、操作系统安全、数据库安全和应用系统安全4个方面。由于Internet 的开放性,本企业网系统中安装了防火墙保证了内网的安全,同时限制了部门的访问外网时间,这样也有利于网络的安全。
4、可维护性原则:设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。采用智能化网络管理,最大程度的降低网络运行成本和维护。
5、高性价比原则:结核日益进步的新技术和企业的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障企业的经济效益。坚持经济学原则,争取用最少的钱办更多的事,以获得最大的效益。
4 网络方案设计
4.1 网络拓扑结构介绍
因为是中小型的企业,所以采用的网络设计方案比较简单,也是经典的网络的拓扑图,网络的结构层次比较清楚,汇聚层也是核心层的设备,采用的是思科的三层交换机3550,汇聚层下面是接入层,接入层的设备采用的是思科的二层交换机2950。
论文采用最便宜、简便的线缆布线方案。把机房放任意一层楼,不用楼层管理子系统,把线直接归入机房,不用配线架,直接做水晶头插交换机,不用信息面板,进入各屋后用pvc 线槽直接出线接水晶头连接计算机。
图中标注了选用的具体路由器和交换机型号,端口名称,通过拓扑图可以直接了解网络的基本框架,网络易于拓展,各部门之间的访问限权关系在图上标注的很清楚。
4.1.1汇聚层网络设计
汇聚层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VLAN 间的路由选择功能。这里的汇聚层交换机采用的是Cisco Catalyst 3550作为3层交换机,Cisco Catalyst 3550交换机拥有24个,同时还有2个1000Mb/s的GBIC 端口供上连使用,运行的是Cisco 的Integrated IOS操作系统。
4.1.2接入层网络设计
接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是Cisco Catalyst 2950 24口交换机(WS-C2950-24)。该交换机拥有24个10/100Mb/s自适应快速以太网端口,运行的是Cisco 的IOS 操作系统。
4.2 网络拓扑图
图(一):网络拓扑图
4.3 IP地址规划和VLAN 划分
4.3.1 IP地址规划
为了满足像企业网、校园网、办公室、网吧等内部网络使用TCP/IP协议的需要,IANA(Internet Assigned Numbers Authority)将A 、B 、C 类地址的一部分保留下来作为私人IP 地址空间。
保留IP 地址的特点是当局域网使用这些地址并接入Internet 时,它们不会与Internet 相连的其他使用相同IP 地址的局域网发生地址冲突。正因为如此,所以当组建一个局域网时,内部网络的IP 地址可选择保留的IP 地址,这样当该局域网接入 Internet后,即使与Internet 相连的其他局域网也使用了相同的IP 地址范围(事实上有成千上万的局域网在使用着这些IP 地址) ,但它们之间不会发生IP 地址的冲突。
企业申请的公有地址为C 类地址(221.215.31.129/29),论文采用的IP 私有地址类型是C 类(192.168.0.0-192.168.255.255),具体的分配请看下面的图表。
表1:企业具体的IP 地址规划
表2:设备的IP 地址分配
4.3.2 VLAN划分
虚拟局域网(VLAN )技术就是将一个交换网络的逻辑地划分成若干子网,每一个子网就是一个广播域。逻辑上划分的子网在功能上与传统物理上划分的子网相同,划分子网可以根据交换机的端口、MAC 地址、IP 地址来进行。引来VLAN 技术可以带来很多益处,降低移动与变更的管理成本,提供性价比更佳的广播控制,提供高效的组播控制,便于网络监督和管理,减少对昂贵路由器的依赖。
表3:Vlan 划分
5 网络技术选型
论文涉及的网络技术有以太网技术、VLAN (虚拟局域网)技术、NAT (网络地址转换)技术、ALC (访问控制列表)技术,下面是对各网络技术的具体介绍。
5.1 以太网技术
目前局域网主要采用以太网技术,它具有强大的用户基础,具有易于移植、可从低速向高速平滑升级、低成本、技术易掌握、不断提高的QoS 和网管能力等特点。随着以太网飞速发展和10GE(10Gbps Ethernet 网) 的出现,以太网的应用已从局域网扩展到城域网和广域网。
以太网(IEEE 802.3标准) 是目前最常用的局域网组网方式。以太网使用双绞线作为传输媒介,在没有中继的情况下,最远可以覆盖200m 的范围。最普遍的以太网类型数据传输速率为100Mb/s,更新的标准则支持1000Mb/s的速率。下面仅对快速以太网做具体介绍:
1995年3月,IEEE 宣布IEEE 802.3u 100BASE-T快速以太网标准,开始了快速以太网的时代。快速以太网仍是基于载波侦听多路访问和冲突检测(CSMA/CD)技术,当网络负载较重时,会造成效率的降低,当然这可以使用交换技术来弥补。100Mbps 快速以太网标准又分为100BASE-TX 、100BASE-FX 和100BASE-T4三大类。可以采用任意一种以太网标准。
(1) 100BASE-TX:这是一种使用5类无屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用两对双绞线,一对用于发送数据,一对用于接收数据,它的最大网段长度为100m 。它支持全双工的数据传输。
(2) 100BASE-FX:这是一种使用光纤的快速以太网技术。它使用单模或多模光纤,多模光纤连接的最大距离为550m ,单模光纤连接的最大距离为3000m 。
(3) 100BASE-T4:这是一种使用非屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用4对双绞线,3对用于传送数据,1对用于检测冲突信号。它使用与10BASE-T 相同的RJ- 45连接器,最大网段长度为100m 。
5.2 VLAN技术
传统以太网试图通过网桥来分隔主机,形成多个冲突域。这样单播报文就会被限制在自己的冲突域之内,从而减少报文碰撞的发生。但是对于二层广播报文而言是可以跨多个冲突域的,即整个局域网依然是一个广播域。广播报文依然能
在整个广播域上扩散。
基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN 技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN 的站点。在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
划分虚拟局域网三种优点:
(1) 控制网络的广播风暴。采用VLAN 技术,可将某个交换端口划到某个VLAN 中,而一个VLAN 的广播风暴不会影响其他VLAN 的性能。
(2) 确保网络安全。共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口就能访问网络,而VLAN 能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC 地址,因此VLAN 能确保网络的安全性。
(3) 简化网络管理。网络能借助VLAN 技术轻松管理整个网络。例如,需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN 网络,其成员使用VLAN 网络就可以像在本地使用局域网一样。
5.3 NAT技术
由于目前IP 地址资源非常稀缺,不可能给企业网内部的所有工作站都分配一个共有IP(internet可路由) 地址。为了解决所有工作站访问Internet 的需要,必须使用NAT (网络地址转换)技术。
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组) 标准,允许一个整体机构以一个公用IP (Internet Protocol)地址出现在Internet 上。NAT 就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。NAT 的典型应用是将使用私有IP 地址(RFC 1918)的园区网络连接到Internet 。NAT 有静态配置和动态配置两种,本文用动态配置,所以只对动态配置做详细介绍。
动态NAT 是建立内部本地地址和内部全局地址的临时对应关系,如果经过一段时间,内部本地地址没有向外的请求后者数据流,该对应关系将被删除。
动态NAT 的配置与静态配置时时一样的,区别是以下三点:
1、配置访问控制列表。
2、定义地址池。
3、定义映射关系。
5.4 ACL技术
访问控制列表(Access Control List,ACL ), 最直接的功能便是包过滤。通过接入控制列表(ALC )可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入到路由器、三层交换机的输入数据流进行检查、分析和过滤。过滤输入数据流的定义可以基于网络地址、TPC/UDP端口信息等。可以选择对于符合过滤标准的流是丢弃还是转发,因此必须知道网络是如何设计的,以及路由器接口是如何在过滤设备上使用的。要通过ALC 配置网络安全属性,只有通过命令来配置网络安全属性,无法通过SNMP 来完成这些配置。
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP 、AppleTalk 以及IPX )的情况,那么,用户必须定义三种ACL 来分别控制这三种协议的数据包。 ACL可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定数据包的优先级。ACL 提供对通信流量的控制手段。例如,ACL 可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL 是提供网络安全访问的基本手段。ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail 通信流量被路由,拒绝所有的Telnet 通信流量。一个端口执行哪条ACL ,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。
ALC的类型主要分为IP 标准访问控制列表(Standard IP ALC)和IP 扩展访问控制列表(Extended IP ALC)两种;主要的动作分为允许和拒绝;主要的应用方法分为入栈应用和出栈应用。标准访问列表(Standard access lists) 是基于IP 数据包中的IP 地址进行控制的。扩展访问列表(Extends access lists )不仅可以对源IP 地址加以控制,还可以对目的IP 地址、协议以及端口号加以控
制。前者在过滤网络的时候只使用IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,给我们网络的策略提供了更细的控制手段。
6 网络设备选择和性能
论文中的防火墙、路由器和交换机统一采用的是思科的设备,这样有利于整个网络的兼容性,防火墙是PIX 系列,路由器是2600系列,三层交换机是3550系列,二层交换机是2950系列,具体型号和性能在下面介绍。
6.1 汇聚层设备
网络设计中汇聚层采用的交换机型号为:WS-C3550-24-EMI ,24个10/100端口和两个基于千兆接口转换器(GBIC )的千兆以太网接口;三层交换。
Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS ),速度限制,Cisco 安全访问控制列表,多播管理和高性能的IP 路由同时保持了传统LAN 交换的简便性。Catalyst 3550系列中内嵌了Cisco 集群管理套件(CMS )软件,该软件使用户可以利用一个标准的Web 浏览器同时配置和诊断多个Catalyst 桌面交换机并为其排除故障。Cisco CMS 软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
Catalyst 3550系列智能以太网交换机具有下面两种快速以太网配置:
Catalyst 3550-24交换机24个10/100端口和两个基于千兆接口转换器(GBIC )的千兆以太网接口;
Catalyst 3550-48交换机48个10/100端口和两个基于GBIC 的千兆以太网接口;
Cisco Catalyst 3550能够通过对Cisco 承诺信息速率(CIR )功能的支持进行速率控制。通过CIR ,带宽能够以8Kbps 的增幅获得保障。带宽可以基于多种标准进行划分,例如MAC 源地址、MAC 目的地址、IP 源地址、IP 目的地址,以及TCP/UDP端口编号。带宽分配对于需要服务水平协议的网络环境至关重要,或者必要时需要网络管理人员控制指定用户所获得的带宽的网络环境。Catalyst 3550-24和Catalyst 3550-48的每个端口均支持8个集中或者单独的入口策略和8个集中的出口策略。这使得网络管理员可以非常准确地控制LAN 带宽。
6.2 接入层设备
接入层所以的交换机为Cisco Catalyst 2950系列交换机。
Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。
Catalyst 2950-24交换机性能:
1、各个端口包括千兆位端口的线速、无阻塞性能。
2、8.8Gbps 交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量——即使对最高性能需求的应用而言也是如此。
3、12或24个10BaseT/100BaseTX自适应端口,每个可为单个用户、服务器、工作组提供最大200Mbps 的带宽,完全可以支持对带宽需求苛刻的应用。
4、Catalyst 2950T-24有两个内置的千兆位以太网(100BaseT )端口,可利用现有的5类电缆结构为千兆位以太网主干、千兆位以太网服务器或交换机之间,提供最大4Gbps 的汇集带宽和最远100米的距离。
5、Catalyst 2950-24交换机有两个多模(100BaseFX )光纤上行链路,在最远2公里的距离上可提供高达200Mbps 的带宽。
6、8MB 共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计,所以可以在组播和广播流量很大的情况下,提供更佳的整体性能,同时保证最大可能的吞吐量。
7、16MB 的DRAM 和8MB 的板上闪存可以为未来升级提供便利,做到最大限度地保护用户投资。
8、利用快速以太网通道和千兆位以太网通道技术的带宽汇集可提高容错性能,并在交换机、路由器和各服务器之间提供最大4Gbps 的汇集带宽。
9、 每个端口使用基于802.1Q 标准的VLAN 主干;每个交换机带有64个VLAN ,附有64个生成树(PVST+)的实例。
10、支持硬件IGMP 侦听的超级组播管理能力。
11、支持VMPS 功能(计划将来使用)的动态VLAN 。
12、VTP 修剪(计划将来使用)。
6.3 路由器设备
Cisco 2600系列不仅可以使用在大型机构的远程分支机构中,而且广泛地使用在中小型没有分支机构的单位中作为与外网互联的网关,它在世界各种IT 类杂志的评选中屡获大奖,是思科路由器系列中卖得最多的产品之一。它是用户对高性能、高稳定、可扩展、易维护的分支机构路由器采购计划的首选机型。
1、Cisco 2600系列的两种基本配置:
Cisco 2610一个以太网接口
Cisco 2611两个以太网接口
每种型号还有两个广域网接口插槽、一个网络模块专用插槽和一个AIM 插槽
2、Cisco 2600XM系列是采购的首选
上面已经提到Cisco 2600XM系列比同型号的2600系列性能提高了33%,而价格相同,很显然2600XM 系列将全面取代2600同型号产品,成为我们采购计划的首选。考虑将Cisco 2600用作分支机构应用的企业现应将Cisco 2600XM作为优先选择的平台,以便为分支机构和远程机构提供更高性能、更灵活的解决方案,为适应下一代网络应用的需求作预备。而对于大多数的远程分支机构的业务应用需求来说,Cisco 2610XM和Cisco 2611XM已经是够用,所以推荐这两款机型作为未来用户采用思科建网方案的首选。从外型上看,Cisco 2610XM和的Cisco 2611XM 的以太网端口由原来的10M 变成10/100M,但内部的内存容量更有极大的提高。
6.4 防火墙设备
防火墙通常位于企业网络的边缘,这使得内部网络与Internet 之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
在众多的企业级主流防火墙中,Cisco PIX 防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535。论文中从性价比方面考虑采用PIX535,处理器:1.0 GHz Intel Pentium III 随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)闪存:16 MB 高速缓存:256 KB Level 2,1 GHz系统总线:双64位,66MHz PCI;单32位,33MHz PCI 故障切换软件许可包含故障切换软件许可的PIX 535工作在热备用模式。作为维护当前对话的完整的冗余系统,它能够以很低的价格提供非常高的可用性。
7 网络设备的配置
7.1 VLAN配置
VLAN 在二层交换机上进行配置,下面仅以VLAN20、VLAN30为例进行配置。 2950-S-1 >enable
2950-S-1 #config terminals
2950-S-1 (config) # vlan 20
2950-S-1 (config-vlan) # name yfzx
2950-S-1 (config-vlan) #exit
2950-S-1 (config) # vlan 30
2950-S-1 (config-vlan) # name zbb
2950-S-1 (config-vlan) #exit
„„„添加Vlan
2950-S-1 (config) # interface range fastethernet 0/2-12
2950-S-1 (config-if) # switchport mode access
2950-S-1 (config-if) # switchport access vlan 20
2950-S-1 (config) # interface range fastethernet 0/13-24
2950-S-1 (config-if) # switchport mode access
2950-S-1 (config-if) # switchport access vlan 30
„„„向Vlan 内添加端口
„(略)
7.2 动态NAT 具体配置
网络地址转换在交换机上进行配置,配置较为简单,但是很重要。
2600-R-1(config )# access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
„„„„„„„„„„„„„„内部局部地址
2600-R-1(config )# ip nat pool WAN 221.215.31.131 221.215.31.134 prefix-len 29
„„„„„„„„„„„„定义合法IP 地址池
2600-R-1(config )# ip nat inside sour list 101 pool WAN
„„„„„„„„„„„„实现地址转换 2600-R-1(config )# int f0/1
2600-R-1(config-if )# ip nat inside„„„„„„„„„„定义NAT inside
2600-R-1(config )# int f0/0
2600-R-1(config-if )# ip nat outside„„„„„„定义NAT outside端口
2600-R-1 (config) #access-list 10 permit 192.168.1.0 0.0.0.255 „„„„„„定义内部本地地址范围
2600-R-1 (config) #ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 „„„„„„定义内部全局地址池
2600-R-1 (config) #ip nat inside source list 10 pool abc
„„„„„„建立映射关系
7.3 路由器、交换机IP 配置
2600-R-1(config )# interface F0/0
2600-R-1 (config-if) #ip add 221.215.31.129 255.255.255.0
2600-R-1 (config-if) #no shutdown
2600-R-1(config-if )# interface F0/1
2600-R-1 (config-if) #ip add 192.168.1.1 255.255.255.0
2600-R-1 (config-if) #no shutdown
----------------------------------
3550-S-1 (config) # int F0/1
3550-S-1 (config-if) # no switchport„„„路由端口
3550-S-1 (config-if) # ip add 192.168.1.2 255.255.255.0
-------------------------------------------------------
2950-S-1 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-1 (config-if) # ip add 192.168.1.8 255.255.255.0
2950-S-1 (config-if) # interface vlan 20„„„„„研发中心
2950-S-1 (config-if) # ip add 192.168.20.1 255.255.255.0
2950-S-1 (config-if) # interface vlan 30„„„„„质保部
2950-S-1 (config-if) # ip add 192.168.30.1 255.255.255.0
-------------------------------------------------------
2950-S-2 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-2 (config-if) # ip add 192.168.1.9 255.255.255.0
2950-S-2 (config-if) # interface vlan 40„„„„„制造部
2950-S-2 (config-if) # ip add 192.168.40.1 255.255.255.0
2950-S-2 (config-if) # interface vlan 50„„„„„设备部
2950-S-2 (config-if) # ip add 192.168.50.1 255.255.255.0
-------------------------------------------------------
2950-S-3 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-3 (config-if) # ip add 192.168.1.10 255.255.255.0
2950-S-3 (config-if) # interface vlan 60„„„„„采购部
2950-S-3 (config-if) # ip add 192.168.60.1 255.255.255.0
2950-S-3 (config-if) # interface vlan 70„„„„„销售部
2950-S-3 (config-if) # ip add 192.168.70.1 255.255.255.0
2950-S-3 (config-if) # interface vlan 80„„„„„财务部
2950-S-3 (config-if) # ip add 192.168.80.1 255.255.255.0
-------------------------------------------------------
2950-S-4 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-4 (config-if) # ip add 192.168.1.11 255.255.255.0
2950-S-4 (config-if) # interface vlan 90„„„„„管理部
2950-S-4 (config-if) # ip add 192.168.90.1 255.255.255.0
2950-S-4 (config-if) # interface vlan 100„„„„总经办
2950-S-4 (config-if) # ip add 192.168.100.1 255.255.255.0
7.4 ACL配置
访问控制列表ALC 在三层交换机上配置,由于各部门的访问限权不同,所以将所有的详细配置列出。
3550-S-1(config) # time-range restrict
3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00
„„„设置时间范围
3550-S-1 (config) # ip access-list extend yfzx „„„. 研发中心ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.20.0 0.0.0.255 „„„访问质保部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zbb„„„质保部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.10.0 0.0.0.255 „„„访问研发中心
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zzb„„„制造部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.40.0 0.0.0.255 „„„„访问设备部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict „„„上班时间禁止上网
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend sbb„„„. 设备部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.30.0 0.0.0.255
„„„„访问制造部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cgb„„„„„„采购部ACL 3550-S-1 (config-ext-nacl) # evaluate cwb-cgb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255 3550-S-1 (config-ext-nacl) #permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend xsb „„„„销售部ACL 3550-S-1 (config-ext-nacl) # evaluate cwb-xsb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255 3550-S-1 (config-ext-nacl) #permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb„„„. 财务部ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.60.0 0.0.0.255 reflect cwb-cgb „„„„创建自反ACL cwb-cgb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.70.0 0.0.0.255 reflect cwb-xsb „„„„创建自反ACL cwb-xsb
3550-S-1 (config-ext-nacl) # evaluate zjb-cwb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb„„„„„管理部ACL 3550-S-1 (config-ext-nacl) # evaluate zjb-glb „„„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„. 禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zjb„„„. 总经办ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.80.0 0.0.0.255 reflect zjb-cwb „„„创建自反ACL zjb-cwb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.90.0 0.0.0.255 reflect zjb-glb „„„... 创建自反ACL zjb-glb
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„. 禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
ACL 应用:
3550-S-1 (config) # int vlan 20 „„„„.. 研发中心 3550-S-1 (config-if) #ip access-group yfzx in
3550-S-1 (config) # int vlan 30 „„„„.. 质保部 3550-S-1 (config-if) #ip access-group zbb in
3550-S-1 (config) # int vlan 40 „„„„„制造部 3550-S-1 (config-if) #ip access-group zzb in
„(略)
结 论
通常我们将少于50人的机构称为小型办公室。小型办公室一般以小型企业、中型企业和家庭办公室为主,但并不局限与此。大多数情况下,小型办公室没有一个专职的IT 管理者,因此技术决策和相关产品购买方面的决定大多是企业的管理者在咨询IT 顾问或咨询企业内部相对比较内行的员工得出的结果。
小型办公网络和大型办公网络的需求不一样,相应的组网策略也不一样,一般用户只会申请一条宽带线路,而宽带运营商所提供的账号只能对一个内网IP 地址有效,此时这个IP 地址可以正常使用公网IP ,但其它内网IP 地址无法采用相同账号登录,网络会认为第二个是非法盗用账号,从而拒绝其登录因特网。这使得众多电脑处于一种尴尬局面。所以在这里采用了私网IP 技术,提高IP 利用率。
致 谢
经过一段时间的忙碌与工作,论文已经接近尾声,由于缺乏经验,写论文期间走了许多弯路,幸好有导师的指引,给予了我很大的帮助。
在这里要感谢我的导师***老师。老师平日里工作繁多,还得抽出时间来给我们改论文。同时还要感谢所有的同学们,正是因为有了你们的支持和鼓励。此次论文才会顺利完成。
参 考 文 献
[1] 梁广民,王隆杰. 思科网络实验室CCNA 实验指南. 北京:电子工业出版社,2009.6
[2] 高峰,曾文英. 计算机网络技术基础. 南昌:中国传媒大学出版社,2004.8
***
学院
毕题 目: 专 业: 班 级: 学 号: 姓 名: 指导教师: 业 设 计
***网络设计与实现 *** ***班
*** ***
***学院***系 二零***年***月
***学院***系毕业设计评语
题目: ***网络设计与实现 专业: 班级:
姓名: *** 学号:
目 录
1 摘 要 . ................................... 错误!未定义书签。 2 需求分析 . .................................................... 4
2.1企业概况 . ................................................................................................. 4
2.2企业建网目标 . ......................................................................................... 4 2.3 LAN信息点分布 .................................................................................... 4 3 方案设计原则 . ................................................ 5 4 网络方案设计 . ................................................ 6
4.1 网络拓扑结构介绍 . ................................................................................ 6
4.1.1汇聚层网络设计 .................................... 6 4.1.2接入层网络设计 .................................... 6 4.2 网络拓扑图 . ............................................................................................ 7 4.3 IP地址规划和VLAN 划分 . ................................................................... 7
4.3.1 IP地址规划 ....................................... 7 4.3.2 VLAN划分 ......................................... 9 5 网络技术选型 . ............................................... 11
5.1 以太网技术 . .......................................................................................... 11 5.2 VLAN技术............................................................................................ 11 5.3 NAT技术 . .............................................................................................. 12 5.4 ACL技术 . .............................................................................................. 13 6 网络设备选择和性能 . ......................................... 15
6.1 汇聚层设备 . .......................................................................................... 15
6.2 接入层设备 . .......................................................................................... 16 6.3 路由器设备 . .......................................................................................... 17 6.4 防火墙设备 . .......................................................................................... 17 7 网络设备的配置 . ............................................. 18
7.1 VLAN配置............................................................................................ 18 7.2 动态NAT 具体配置 . ............................................................................ 18 7.3 路由器、交换机IP 配置 ..................................................................... 19 7.4 ACL配置 . .............................................................................................. 20 结 论 . ........................................................ 24 致 谢 . ........................................................ 25 参 考 文 献 . ................................................... 26
1 摘 要
***网络设计与实现
主要讨论的是如何组建中小经济型千兆企业网,内容主要包括各种局域网的技术思想、网络拓扑结构、线缆布线、网络安全等内容。论文中涉及的网络技术有以太网技术、VLAN 技术、NAT 技术和ACL 技术。并且针对所涉及的技术选择了设备,写出了设备的具体配置命令。网络拓扑图采用的是星型结构,由于考虑到时中小型企业,所以没有用到核心交换机,只用到汇聚层交换机和接入层交换机,并通过路由器和防火墙连接到外网。
关键词 企业网 交换机 路由器
Abstract
The main discussion is how to set up the small and medium-sized enterprise economical gigabit network, content includes various LAN technology ideas, topological structure of the network, cabling, network security and other content. Thesis network technology have Ethernet technology, VLAN technology, NAT technology and ACL technology. And in view of the techniques involved in choosing equipment, write device-specific configuration command. Network topology is used in star structure, considering that small and medium enterprises, so did not use the core switch, only to the convergence layer and access layer switch switches, and through the router and firewall is connected to the internet.Enterprise network switches routers.
Keyword :Enterprise network Switches Routers
2 需求分析
2.1企业概况
公司员工约100人,公司主要部门有研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部。
公司大概的电脑分配情况为研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部电脑各约10余台,总经办2-3台电脑。由于公司规模较小,所有部门可以都在同一层上,也可以分布在两层,所以不需要考虑建筑物分布情况。
企业正在发展,设备有待扩充,所以本方案要求有利于以后的网络扩建。
2.2企业建网目标
1、采用经济、实用的网络通信技术完成企业网的建设,公司内部之间与内外之间的信息访问;
2、在公司实现部分资源共享、产品信息共享、实时新闻发布; 3、给予公司高层与员工之间的特殊的访问权限:
制造部、设备部vlan 实现互访,禁止访问其它部门vlan
制造部、设备部上班时间禁止访问internet(8:00-12:00,2:00-6:00) 研发中心、质保部vlan 实现互访,禁止访问其它部门vlan 财务部vlan 实现与采购部、销售部vlan 的单向访问 总经办vlan 实现与财务部、管理部vlan 的单向访问 管理部vlan 禁止访问其它部门vlan 各部门vlan 都能访问服务器区
2.3 LAN信息点分布
企业有100余个信息点,各部门的信息点相当,研发中心、质保部、制造部、设备部、采购部、销售部、财务部、管理部各10余个信息点,总经办2、3个信息点。
3 方案设计原则
1、适用性原则:该企业网主要是为企业提供各项服务和管理,建成的网络必须具有较高的实用性。系统总体功能设计时要充分考虑用户当前各业务层次、各环节管理中数据处理的便利性和可行性,把满足用户业务管理作为第一要素进行考虑。
2、先进性原则:论文中采用的以太网、VLAN 等技术都是当今国际、国内最先进成熟的网络技术和计算机技术,使新建立的企业网系统能够最大限度地适应今后技术发展变化和业务发展变化的需要。
3、安全性原则:企业网安全包括网络安全、操作系统安全、数据库安全和应用系统安全4个方面。由于Internet 的开放性,本企业网系统中安装了防火墙保证了内网的安全,同时限制了部门的访问外网时间,这样也有利于网络的安全。
4、可维护性原则:设计网络时充分考虑网络日后的管理和维护工作,并选用易于操作和维护的网络操作系统,大大减轻网络运营时的管理和维护负担。采用智能化网络管理,最大程度的降低网络运行成本和维护。
5、高性价比原则:结核日益进步的新技术和企业的具体情况,制定合乎经济效益的解决方案,在满足需求的基础上,充分保障企业的经济效益。坚持经济学原则,争取用最少的钱办更多的事,以获得最大的效益。
4 网络方案设计
4.1 网络拓扑结构介绍
因为是中小型的企业,所以采用的网络设计方案比较简单,也是经典的网络的拓扑图,网络的结构层次比较清楚,汇聚层也是核心层的设备,采用的是思科的三层交换机3550,汇聚层下面是接入层,接入层的设备采用的是思科的二层交换机2950。
论文采用最便宜、简便的线缆布线方案。把机房放任意一层楼,不用楼层管理子系统,把线直接归入机房,不用配线架,直接做水晶头插交换机,不用信息面板,进入各屋后用pvc 线槽直接出线接水晶头连接计算机。
图中标注了选用的具体路由器和交换机型号,端口名称,通过拓扑图可以直接了解网络的基本框架,网络易于拓展,各部门之间的访问限权关系在图上标注的很清楚。
4.1.1汇聚层网络设计
汇聚层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VLAN 间的路由选择功能。这里的汇聚层交换机采用的是Cisco Catalyst 3550作为3层交换机,Cisco Catalyst 3550交换机拥有24个,同时还有2个1000Mb/s的GBIC 端口供上连使用,运行的是Cisco 的Integrated IOS操作系统。
4.1.2接入层网络设计
接入层为所有的终端用户提供一个接入点。这里的接入层交换机采用的是Cisco Catalyst 2950 24口交换机(WS-C2950-24)。该交换机拥有24个10/100Mb/s自适应快速以太网端口,运行的是Cisco 的IOS 操作系统。
4.2 网络拓扑图
图(一):网络拓扑图
4.3 IP地址规划和VLAN 划分
4.3.1 IP地址规划
为了满足像企业网、校园网、办公室、网吧等内部网络使用TCP/IP协议的需要,IANA(Internet Assigned Numbers Authority)将A 、B 、C 类地址的一部分保留下来作为私人IP 地址空间。
保留IP 地址的特点是当局域网使用这些地址并接入Internet 时,它们不会与Internet 相连的其他使用相同IP 地址的局域网发生地址冲突。正因为如此,所以当组建一个局域网时,内部网络的IP 地址可选择保留的IP 地址,这样当该局域网接入 Internet后,即使与Internet 相连的其他局域网也使用了相同的IP 地址范围(事实上有成千上万的局域网在使用着这些IP 地址) ,但它们之间不会发生IP 地址的冲突。
企业申请的公有地址为C 类地址(221.215.31.129/29),论文采用的IP 私有地址类型是C 类(192.168.0.0-192.168.255.255),具体的分配请看下面的图表。
表1:企业具体的IP 地址规划
表2:设备的IP 地址分配
4.3.2 VLAN划分
虚拟局域网(VLAN )技术就是将一个交换网络的逻辑地划分成若干子网,每一个子网就是一个广播域。逻辑上划分的子网在功能上与传统物理上划分的子网相同,划分子网可以根据交换机的端口、MAC 地址、IP 地址来进行。引来VLAN 技术可以带来很多益处,降低移动与变更的管理成本,提供性价比更佳的广播控制,提供高效的组播控制,便于网络监督和管理,减少对昂贵路由器的依赖。
表3:Vlan 划分
5 网络技术选型
论文涉及的网络技术有以太网技术、VLAN (虚拟局域网)技术、NAT (网络地址转换)技术、ALC (访问控制列表)技术,下面是对各网络技术的具体介绍。
5.1 以太网技术
目前局域网主要采用以太网技术,它具有强大的用户基础,具有易于移植、可从低速向高速平滑升级、低成本、技术易掌握、不断提高的QoS 和网管能力等特点。随着以太网飞速发展和10GE(10Gbps Ethernet 网) 的出现,以太网的应用已从局域网扩展到城域网和广域网。
以太网(IEEE 802.3标准) 是目前最常用的局域网组网方式。以太网使用双绞线作为传输媒介,在没有中继的情况下,最远可以覆盖200m 的范围。最普遍的以太网类型数据传输速率为100Mb/s,更新的标准则支持1000Mb/s的速率。下面仅对快速以太网做具体介绍:
1995年3月,IEEE 宣布IEEE 802.3u 100BASE-T快速以太网标准,开始了快速以太网的时代。快速以太网仍是基于载波侦听多路访问和冲突检测(CSMA/CD)技术,当网络负载较重时,会造成效率的降低,当然这可以使用交换技术来弥补。100Mbps 快速以太网标准又分为100BASE-TX 、100BASE-FX 和100BASE-T4三大类。可以采用任意一种以太网标准。
(1) 100BASE-TX:这是一种使用5类无屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用两对双绞线,一对用于发送数据,一对用于接收数据,它的最大网段长度为100m 。它支持全双工的数据传输。
(2) 100BASE-FX:这是一种使用光纤的快速以太网技术。它使用单模或多模光纤,多模光纤连接的最大距离为550m ,单模光纤连接的最大距离为3000m 。
(3) 100BASE-T4:这是一种使用非屏蔽双绞线或屏蔽双绞线的快速以太网技术。它使用4对双绞线,3对用于传送数据,1对用于检测冲突信号。它使用与10BASE-T 相同的RJ- 45连接器,最大网段长度为100m 。
5.2 VLAN技术
传统以太网试图通过网桥来分隔主机,形成多个冲突域。这样单播报文就会被限制在自己的冲突域之内,从而减少报文碰撞的发生。但是对于二层广播报文而言是可以跨多个冲突域的,即整个局域网依然是一个广播域。广播报文依然能
在整个广播域上扩散。
基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN 技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN 的站点。在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
划分虚拟局域网三种优点:
(1) 控制网络的广播风暴。采用VLAN 技术,可将某个交换端口划到某个VLAN 中,而一个VLAN 的广播风暴不会影响其他VLAN 的性能。
(2) 确保网络安全。共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口就能访问网络,而VLAN 能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC 地址,因此VLAN 能确保网络的安全性。
(3) 简化网络管理。网络能借助VLAN 技术轻松管理整个网络。例如,需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN 网络,其成员使用VLAN 网络就可以像在本地使用局域网一样。
5.3 NAT技术
由于目前IP 地址资源非常稀缺,不可能给企业网内部的所有工作站都分配一个共有IP(internet可路由) 地址。为了解决所有工作站访问Internet 的需要,必须使用NAT (网络地址转换)技术。
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force, Internet工程任务组) 标准,允许一个整体机构以一个公用IP (Internet Protocol)地址出现在Internet 上。NAT 就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。NAT 的典型应用是将使用私有IP 地址(RFC 1918)的园区网络连接到Internet 。NAT 有静态配置和动态配置两种,本文用动态配置,所以只对动态配置做详细介绍。
动态NAT 是建立内部本地地址和内部全局地址的临时对应关系,如果经过一段时间,内部本地地址没有向外的请求后者数据流,该对应关系将被删除。
动态NAT 的配置与静态配置时时一样的,区别是以下三点:
1、配置访问控制列表。
2、定义地址池。
3、定义映射关系。
5.4 ACL技术
访问控制列表(Access Control List,ACL ), 最直接的功能便是包过滤。通过接入控制列表(ALC )可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入到路由器、三层交换机的输入数据流进行检查、分析和过滤。过滤输入数据流的定义可以基于网络地址、TPC/UDP端口信息等。可以选择对于符合过滤标准的流是丢弃还是转发,因此必须知道网络是如何设计的,以及路由器接口是如何在过滤设备上使用的。要通过ALC 配置网络安全属性,只有通过命令来配置网络安全属性,无法通过SNMP 来完成这些配置。
ACL的定义也是基于每一种协议的。如果路由器接口配置成为支持三种协议(IP 、AppleTalk 以及IPX )的情况,那么,用户必须定义三种ACL 来分别控制这三种协议的数据包。 ACL可以限制网络流量、提高网络性能。例如,ACL 可以根据数据包的协议,指定数据包的优先级。ACL 提供对通信流量的控制手段。例如,ACL 可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。ACL 是提供网络安全访问的基本手段。ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail 通信流量被路由,拒绝所有的Telnet 通信流量。一个端口执行哪条ACL ,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。
ALC的类型主要分为IP 标准访问控制列表(Standard IP ALC)和IP 扩展访问控制列表(Extended IP ALC)两种;主要的动作分为允许和拒绝;主要的应用方法分为入栈应用和出栈应用。标准访问列表(Standard access lists) 是基于IP 数据包中的IP 地址进行控制的。扩展访问列表(Extends access lists )不仅可以对源IP 地址加以控制,还可以对目的IP 地址、协议以及端口号加以控
制。前者在过滤网络的时候只使用IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,给我们网络的策略提供了更细的控制手段。
6 网络设备选择和性能
论文中的防火墙、路由器和交换机统一采用的是思科的设备,这样有利于整个网络的兼容性,防火墙是PIX 系列,路由器是2600系列,三层交换机是3550系列,二层交换机是2950系列,具体型号和性能在下面介绍。
6.1 汇聚层设备
网络设计中汇聚层采用的交换机型号为:WS-C3550-24-EMI ,24个10/100端口和两个基于千兆接口转换器(GBIC )的千兆以太网接口;三层交换。
Cisco Catalyst 3550系列智能化以太网交换机是一个新型的、可堆叠的、多层企业级交换机系列,可以提供高水平的可用性、可扩展性、安全性和控制能力,从而提高网络的运行效率。因为具有多种快速以太网和千兆以太网配置,因此Catalyst 3550系列既可以作为一个功能强大的接入层交换机,用于中型企业的布线室;也可以作为一个骨干网交换机,用于中型网络。客户有史以来第一次可以在整个网络中部署智能化的服务,例如先进的服务质量(QoS ),速度限制,Cisco 安全访问控制列表,多播管理和高性能的IP 路由同时保持了传统LAN 交换的简便性。Catalyst 3550系列中内嵌了Cisco 集群管理套件(CMS )软件,该软件使用户可以利用一个标准的Web 浏览器同时配置和诊断多个Catalyst 桌面交换机并为其排除故障。Cisco CMS 软件提供了新的配置向导,它可以大幅度简化整合式应用和网络级服务的部署。
Catalyst 3550系列智能以太网交换机具有下面两种快速以太网配置:
Catalyst 3550-24交换机24个10/100端口和两个基于千兆接口转换器(GBIC )的千兆以太网接口;
Catalyst 3550-48交换机48个10/100端口和两个基于GBIC 的千兆以太网接口;
Cisco Catalyst 3550能够通过对Cisco 承诺信息速率(CIR )功能的支持进行速率控制。通过CIR ,带宽能够以8Kbps 的增幅获得保障。带宽可以基于多种标准进行划分,例如MAC 源地址、MAC 目的地址、IP 源地址、IP 目的地址,以及TCP/UDP端口编号。带宽分配对于需要服务水平协议的网络环境至关重要,或者必要时需要网络管理人员控制指定用户所获得的带宽的网络环境。Catalyst 3550-24和Catalyst 3550-48的每个端口均支持8个集中或者单独的入口策略和8个集中的出口策略。这使得网络管理员可以非常准确地控制LAN 带宽。
6.2 接入层设备
接入层所以的交换机为Cisco Catalyst 2950系列交换机。
Cisco Catalyst 2950系列智能以太网交换机是一个固定配置、可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,Cisco Catalyst 2950系列在网络或城域接入边缘实现了智能服务。
Catalyst 2950-24交换机性能:
1、各个端口包括千兆位端口的线速、无阻塞性能。
2、8.8Gbps 交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量——即使对最高性能需求的应用而言也是如此。
3、12或24个10BaseT/100BaseTX自适应端口,每个可为单个用户、服务器、工作组提供最大200Mbps 的带宽,完全可以支持对带宽需求苛刻的应用。
4、Catalyst 2950T-24有两个内置的千兆位以太网(100BaseT )端口,可利用现有的5类电缆结构为千兆位以太网主干、千兆位以太网服务器或交换机之间,提供最大4Gbps 的汇集带宽和最远100米的距离。
5、Catalyst 2950-24交换机有两个多模(100BaseFX )光纤上行链路,在最远2公里的距离上可提供高达200Mbps 的带宽。
6、8MB 共享内存结构由于使用了消除包头阻塞以及最大可能减少包丢失的设计,所以可以在组播和广播流量很大的情况下,提供更佳的整体性能,同时保证最大可能的吞吐量。
7、16MB 的DRAM 和8MB 的板上闪存可以为未来升级提供便利,做到最大限度地保护用户投资。
8、利用快速以太网通道和千兆位以太网通道技术的带宽汇集可提高容错性能,并在交换机、路由器和各服务器之间提供最大4Gbps 的汇集带宽。
9、 每个端口使用基于802.1Q 标准的VLAN 主干;每个交换机带有64个VLAN ,附有64个生成树(PVST+)的实例。
10、支持硬件IGMP 侦听的超级组播管理能力。
11、支持VMPS 功能(计划将来使用)的动态VLAN 。
12、VTP 修剪(计划将来使用)。
6.3 路由器设备
Cisco 2600系列不仅可以使用在大型机构的远程分支机构中,而且广泛地使用在中小型没有分支机构的单位中作为与外网互联的网关,它在世界各种IT 类杂志的评选中屡获大奖,是思科路由器系列中卖得最多的产品之一。它是用户对高性能、高稳定、可扩展、易维护的分支机构路由器采购计划的首选机型。
1、Cisco 2600系列的两种基本配置:
Cisco 2610一个以太网接口
Cisco 2611两个以太网接口
每种型号还有两个广域网接口插槽、一个网络模块专用插槽和一个AIM 插槽
2、Cisco 2600XM系列是采购的首选
上面已经提到Cisco 2600XM系列比同型号的2600系列性能提高了33%,而价格相同,很显然2600XM 系列将全面取代2600同型号产品,成为我们采购计划的首选。考虑将Cisco 2600用作分支机构应用的企业现应将Cisco 2600XM作为优先选择的平台,以便为分支机构和远程机构提供更高性能、更灵活的解决方案,为适应下一代网络应用的需求作预备。而对于大多数的远程分支机构的业务应用需求来说,Cisco 2610XM和Cisco 2611XM已经是够用,所以推荐这两款机型作为未来用户采用思科建网方案的首选。从外型上看,Cisco 2610XM和的Cisco 2611XM 的以太网端口由原来的10M 变成10/100M,但内部的内存容量更有极大的提高。
6.4 防火墙设备
防火墙通常位于企业网络的边缘,这使得内部网络与Internet 之间或者与其他外部网络互相隔离,并限制网络互访从而保护企业内部网络。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。
在众多的企业级主流防火墙中,Cisco PIX 防火墙是所有同类产品性能最好的一种。Cisco PIX系列防火墙目前有5种型号PIX506,515,520,525,535。论文中从性价比方面考虑采用PIX535,处理器:1.0 GHz Intel Pentium III 随机读写内存:512 MB或1 GB SDRAM(寄存型PC 133)闪存:16 MB 高速缓存:256 KB Level 2,1 GHz系统总线:双64位,66MHz PCI;单32位,33MHz PCI 故障切换软件许可包含故障切换软件许可的PIX 535工作在热备用模式。作为维护当前对话的完整的冗余系统,它能够以很低的价格提供非常高的可用性。
7 网络设备的配置
7.1 VLAN配置
VLAN 在二层交换机上进行配置,下面仅以VLAN20、VLAN30为例进行配置。 2950-S-1 >enable
2950-S-1 #config terminals
2950-S-1 (config) # vlan 20
2950-S-1 (config-vlan) # name yfzx
2950-S-1 (config-vlan) #exit
2950-S-1 (config) # vlan 30
2950-S-1 (config-vlan) # name zbb
2950-S-1 (config-vlan) #exit
„„„添加Vlan
2950-S-1 (config) # interface range fastethernet 0/2-12
2950-S-1 (config-if) # switchport mode access
2950-S-1 (config-if) # switchport access vlan 20
2950-S-1 (config) # interface range fastethernet 0/13-24
2950-S-1 (config-if) # switchport mode access
2950-S-1 (config-if) # switchport access vlan 30
„„„向Vlan 内添加端口
„(略)
7.2 动态NAT 具体配置
网络地址转换在交换机上进行配置,配置较为简单,但是很重要。
2600-R-1(config )# access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
„„„„„„„„„„„„„„内部局部地址
2600-R-1(config )# ip nat pool WAN 221.215.31.131 221.215.31.134 prefix-len 29
„„„„„„„„„„„„定义合法IP 地址池
2600-R-1(config )# ip nat inside sour list 101 pool WAN
„„„„„„„„„„„„实现地址转换 2600-R-1(config )# int f0/1
2600-R-1(config-if )# ip nat inside„„„„„„„„„„定义NAT inside
2600-R-1(config )# int f0/0
2600-R-1(config-if )# ip nat outside„„„„„„定义NAT outside端口
2600-R-1 (config) #access-list 10 permit 192.168.1.0 0.0.0.255 „„„„„„定义内部本地地址范围
2600-R-1 (config) #ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 „„„„„„定义内部全局地址池
2600-R-1 (config) #ip nat inside source list 10 pool abc
„„„„„„建立映射关系
7.3 路由器、交换机IP 配置
2600-R-1(config )# interface F0/0
2600-R-1 (config-if) #ip add 221.215.31.129 255.255.255.0
2600-R-1 (config-if) #no shutdown
2600-R-1(config-if )# interface F0/1
2600-R-1 (config-if) #ip add 192.168.1.1 255.255.255.0
2600-R-1 (config-if) #no shutdown
----------------------------------
3550-S-1 (config) # int F0/1
3550-S-1 (config-if) # no switchport„„„路由端口
3550-S-1 (config-if) # ip add 192.168.1.2 255.255.255.0
-------------------------------------------------------
2950-S-1 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-1 (config-if) # ip add 192.168.1.8 255.255.255.0
2950-S-1 (config-if) # interface vlan 20„„„„„研发中心
2950-S-1 (config-if) # ip add 192.168.20.1 255.255.255.0
2950-S-1 (config-if) # interface vlan 30„„„„„质保部
2950-S-1 (config-if) # ip add 192.168.30.1 255.255.255.0
-------------------------------------------------------
2950-S-2 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-2 (config-if) # ip add 192.168.1.9 255.255.255.0
2950-S-2 (config-if) # interface vlan 40„„„„„制造部
2950-S-2 (config-if) # ip add 192.168.40.1 255.255.255.0
2950-S-2 (config-if) # interface vlan 50„„„„„设备部
2950-S-2 (config-if) # ip add 192.168.50.1 255.255.255.0
-------------------------------------------------------
2950-S-3 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-3 (config-if) # ip add 192.168.1.10 255.255.255.0
2950-S-3 (config-if) # interface vlan 60„„„„„采购部
2950-S-3 (config-if) # ip add 192.168.60.1 255.255.255.0
2950-S-3 (config-if) # interface vlan 70„„„„„销售部
2950-S-3 (config-if) # ip add 192.168.70.1 255.255.255.0
2950-S-3 (config-if) # interface vlan 80„„„„„财务部
2950-S-3 (config-if) # ip add 192.168.80.1 255.255.255.0
-------------------------------------------------------
2950-S-4 (config-if) # interface f0/1„„„„三层交换机端口
2950-S-4 (config-if) # ip add 192.168.1.11 255.255.255.0
2950-S-4 (config-if) # interface vlan 90„„„„„管理部
2950-S-4 (config-if) # ip add 192.168.90.1 255.255.255.0
2950-S-4 (config-if) # interface vlan 100„„„„总经办
2950-S-4 (config-if) # ip add 192.168.100.1 255.255.255.0
7.4 ACL配置
访问控制列表ALC 在三层交换机上配置,由于各部门的访问限权不同,所以将所有的详细配置列出。
3550-S-1(config) # time-range restrict
3550-S-1(config-time-range) # periodic daily start 12:00 to 2:00
„„„设置时间范围
3550-S-1 (config) # ip access-list extend yfzx „„„. 研发中心ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.20.0 0.0.0.255 „„„访问质保部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zbb„„„质保部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.10.0 0.0.0.255 „„„访问研发中心
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zzb„„„制造部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.40.0 0.0.0.255 „„„„访问设备部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any time-range restrict „„„上班时间禁止上网
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend sbb„„„. 设备部ACL
3550-S-1 (config-ext-nacl) # permit ip any 192.168.30.0 0.0.0.255
„„„„访问制造部
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cgb„„„„„„采购部ACL 3550-S-1 (config-ext-nacl) # evaluate cwb-cgb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区 3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255 3550-S-1 (config-ext-nacl) #permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend xsb „„„„销售部ACL 3550-S-1 (config-ext-nacl) # evaluate cwb-xsb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) #deny ip any 192.168.0.0 0.0.255.255 3550-S-1 (config-ext-nacl) #permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb„„„. 财务部ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.60.0 0.0.0.255 reflect cwb-cgb „„„„创建自反ACL cwb-cgb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.70.0 0.0.0.255 reflect cwb-xsb „„„„创建自反ACL cwb-xsb
3550-S-1 (config-ext-nacl) # evaluate zjb-cwb „„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„„禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend cwb„„„„„管理部ACL 3550-S-1 (config-ext-nacl) # evaluate zjb-glb „„„计算匹配自反ACL 3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„. 禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
---------------------------------------------------------------------
3550-S-1 (config) # ip access-list extend zjb„„„. 总经办ACL
3550-S-1 (config-ext-nacl) # permint ip any 192.168.80.0 0.0.0.255 reflect zjb-cwb „„„创建自反ACL zjb-cwb
3550-S-1 (config-ext-nacl) # permint ip any 192.168.90.0 0.0.0.255 reflect zjb-glb „„„... 创建自反ACL zjb-glb
3550-S-1 (config-ext-nacl) # permit ip any 192.168.100.0 0.0.0.255 „„„访问服务器区
3550-S-1 (config-ext-nacl) # deny ip any 192.168.0.0 0.0.255.255 „„„. 禁止访问其它部门
3550-S-1 (config-ext-nacl) # permit ip any any
ACL 应用:
3550-S-1 (config) # int vlan 20 „„„„.. 研发中心 3550-S-1 (config-if) #ip access-group yfzx in
3550-S-1 (config) # int vlan 30 „„„„.. 质保部 3550-S-1 (config-if) #ip access-group zbb in
3550-S-1 (config) # int vlan 40 „„„„„制造部 3550-S-1 (config-if) #ip access-group zzb in
„(略)
结 论
通常我们将少于50人的机构称为小型办公室。小型办公室一般以小型企业、中型企业和家庭办公室为主,但并不局限与此。大多数情况下,小型办公室没有一个专职的IT 管理者,因此技术决策和相关产品购买方面的决定大多是企业的管理者在咨询IT 顾问或咨询企业内部相对比较内行的员工得出的结果。
小型办公网络和大型办公网络的需求不一样,相应的组网策略也不一样,一般用户只会申请一条宽带线路,而宽带运营商所提供的账号只能对一个内网IP 地址有效,此时这个IP 地址可以正常使用公网IP ,但其它内网IP 地址无法采用相同账号登录,网络会认为第二个是非法盗用账号,从而拒绝其登录因特网。这使得众多电脑处于一种尴尬局面。所以在这里采用了私网IP 技术,提高IP 利用率。
致 谢
经过一段时间的忙碌与工作,论文已经接近尾声,由于缺乏经验,写论文期间走了许多弯路,幸好有导师的指引,给予了我很大的帮助。
在这里要感谢我的导师***老师。老师平日里工作繁多,还得抽出时间来给我们改论文。同时还要感谢所有的同学们,正是因为有了你们的支持和鼓励。此次论文才会顺利完成。
参 考 文 献
[1] 梁广民,王隆杰. 思科网络实验室CCNA 实验指南. 北京:电子工业出版社,2009.6
[2] 高峰,曾文英. 计算机网络技术基础. 南昌:中国传媒大学出版社,2004.8