网络详细规划与配置

第四章网络详细规划与配置4.1网络环境搭建在企业网络建设中，要根据企业的实际情况搭建网络拓扑图，并且要充分考虑到企业发展所带的网络变化，要网络设计时就应该把这些因素考虑在内，以便所建设的网络能满足企业未来发展的要求。4.1.1企业环境假设企业现有网管中心、财务部、人力资源部、市场部、研发部、保安部、生产部、综合管理部等部分，分在三个楼层里，其中，网管中心、财务部、人力资源部、综合管理部在三楼，市场部和研发部在二楼、保安部和生产部在一楼；企业发展迅速，有可能在将来增加其它的办公场所，要求根据这些情况设计一个符合企业需要并能适合企业发展的网络。4.1.2网络拓扑根据企业的情况，将核心交换机、出口路由器和企业服务器放在网管中心，各个楼层有一个汇聚交换机作为每个楼层的网络出口，并能过线缆连接到网管中心的核心交换机上；核心交换机通过路由器连接Internet。根据这些情况设计的网络拓扑图如下：4.2网络协议与技术选择在交换型的网络当中，特别是大中型网络当中，由于计算机较多，出现故障变大，排除网络故障的难度更随之加大，这给网络管理和网络优化带来很大的困难。所以在网络设计中，如果采用现有的技术，进一步提高网络的性能，是网络设计者和网络管理者都必须考虑的问题。在现在的企业网络当中，比较广泛的一个方法就是采用VLAN技术，把一个大的网络逻辑上划分成若干个相对较小的网络，这样有助网络的管理，也有利于网络性能的提高。在路由器上可采用的路由选择协议也很多，有中小型网络使用的静态路由、RIP路由，也有大中型网络使用的OSPF协议。在众多的网络路由协议当中，要选择出一个适合现实的、又便于管理的协议。在企业网络建设过程或者网络扩展当中，由于各种原因，一般情况下不可能全部使用同一个厂商的设备，这时候，在路由协议上就应该选择大部分设备的支持的通用的协议，而要尽量避免使用一些厂商私有的协议。在本网络当中，内部VLAN间采用了比较通用的OSPF动态协议，并且在网络出口上使用静态路由（缺省路由）。4.2.1静态路由协议静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时，网络管理员需要手工去修改路由表中相关的静态路由信息。缺省路由是静态路由的一种，也是由管理员设置的。在没有找到目标网络的路由表项时，路由器将信息发送到缺省路由器。在出口路由器我们经常需要使用这种路由协议，当企业网内访问的目标是非内部地址时，缺省路由就将它转发到ISP处，由ISP的路由器再进行转发处理，并最终到达目标网络。4.2.2OSPF动态路由协议OSPF作为一种内部网关协议，用于在同一个自治域（AS）中的路由器之间发布路由信息。区别于距离矢量协议(RIP)，OSPF具有支持大型网络、路由收敛快、占用网络资源少、无跳数限制等优点，同时它是一种通用的协议，市场上的路由器都支持它，所以它在网络中被广泛的采用。4.2.3NAT技术随着Internet的迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面介绍一种在目前网络环境中比较有效的方法，即地址转换(NAT)功能。NAT通过将专用网络地址转换为公用地址，从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。1、NAT的类型NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。2、NAT的优点：对于那些家庭用户或者小型的商业机构来说，使用NAT可以更便宜，更有效率地接入Internet。使用NAT可以缓解目前全球IP地址不足的问题。在很多情况下，NAT能够满足安全性的需要。使用NAT可以方便网络的管理，并大大提高了网络的适应性。3、NAT的缺点NAT会增加延迟,因为要转换每个数据包包头的IP地址,自然要增加延迟。NAT会使某些要使用内嵌地址的应用不能正常工作。4.2.4ACLs技术大部分企业现在存在一种状况，就是网络访问无序的状态。如所有公司的员工都可以随意反问财务部门的电脑；如在开公司的视频会议的时候，其他员工下载电影或者游戏浪费了宝贵的带宽，导致视频会议不怎么连贯；如为了管理的方便，大开Telnet端口，对于这个威胁视若无睹，等等。在实际应用当中，我们可以通过访问控制列表来对网络的访问进制一些适当的限制。4.2.5VLAN技术VLAN是英文VirtualLocalAreaNetwork的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN具有以下优点：1、控制网络的广播风暴采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。2、确保网络安全共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。3、简化网络管理网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。4.3网络地址规划在网络设计时，做好网络地址的选择与规划是非常重要的一个环节，网络地址的规划是否合理直接影响到网络的使用和网络的扩展。1、企业从ISP申请到一个公网IP：202.101.0.0/28，主要用于连接外网和部分服务器使用。其分配如下表所示：部门子网子网掩码出口路由器F0/1202.101.0.1255.255.255.240Web服务器202.101.0.2255.255.255.240FTP服务器202.101.0.3255.255.255.2402、IP地址的选择目前，在网络上使用的IP地址主要有三类：A类、B类和C类，而这三类IP址址又分为注册地址和非注册地址，注册地址用于Internet上使用，而非注册地址（即私有地址）用于组织机构内部使用。三类IP都有私有地址，在做网络设计时要根据企业的网络情况进行选择。其中，A类私有地址范围为10.0.0.0--10.255.255.255，能容纳1亿多个主机；B类私有地址范围为172.16.0.0--172.31.255.255，能容纳6万多个主机；C类私有地址为192.168.0.0--192.168.255.255，每个网络能容纳254个主机。根据企业的规模，我们选择了B类地址172.16.0.0/16作为企业网络的地址。3、IP子网划分为提高网络的性能，在企业内使用VLAN技术，这就需要对所选的网络进行子网划分。为了便于管理，每个部分都分配一个单独的子网。所以该企业子网划分的情况、子网分配以及VLAN分配情况如下表所示：子网划分与子网分配表部门子网子网掩码对应VLAN网管中心172.16.1.0255.255.255.0vlan1财务部172.16.2.0255.255.255.0vlan20人力资源部172.16.3.0255.255.255.0vlan30综合管理部172.16.4.0255.255.255.0vlan40市场部172.16.5.0255.255.255.0vlan50研发部172.16.6.0255.255.255.0vlan60保安部172.16.7.0255.255.255.0vlan70生产部172.16.8.0255.255.255.0vlan80核心—出口路由器172.16.0.0255.255.255.04、VLAN划分在核心交换机和汇聚层交换机上划分VLAN，并分配相应端口，具体如下表所示：核心交换机与汇聚层交换机VLAN划分表交换机VLAN端口核心交换vlan1F0/1(T)、F0/2(T)、F0/3(T)、F0/4-23机vlan20F0/1(T)、F0/2(T)、F0/3(T)vlan30F0/1(T)、F0/2(T)、F0/3(T)vlan40F0/1(T)、F0/2(T)、F0/3(T)vlan50F0/1(T)、F0/2(T)、F0/3(T)vlan60F0/1(T)、F0/2(T)、F0/3(T)vlan70F0/1(T)、F0/2(T)、F0/3(T)vlan80F0/1(T)、F0/2(T)、F0/3(T)一楼汇聚交换机vlan1F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23vlan70F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan80F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8二楼汇聚交换机vlan1F0/24(T)、F0/2(T)、F0/3(T)、F0/9-23vlan50F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan60F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8三楼汇聚交换机vlan1F0/24(T)、F0/2(T)、F0/3(T)、F0/13-23vlan20F0/24(T)、F0/2(T)、F0/3(T)、F0/1-4vlan30F0/24(T)、F0/2(T)、F0/3(T)、F0/5-8vlan40F0/24(T)、F0/2(T)、F0/3(T)、F0/9-125、网络设备与测试主机地址分配在网络规划完成后，就可以对各个网络设备和测试主机分配IP地址，在此网络中，IP地址分配如下。设备、服务器与VLAN的IP分配表接口或VLANIP地址子网掩码对应VLAN核心交换机F0/24172.16.0.1255.255.255.0路由器F0/0172.16.0.2255.255.255.0路由器F0/0202.101.0.1255.255.255.240一楼汇聚交换机管理IP172.16.1.101255.255.255.0二楼汇聚交换机管理IP172.16.1.102255.255.255.0三楼汇聚交换机管理IP172.16.1.103255.255.255.0vlan1172.16.1.1255.255.255.0vlan1vlan20172.16.2.1255.255.255.0vlan20vlan30172.16.3.1255.255.255.0vlan30vlan40172.16.4.1255.255.255.0vlan40vlan50172.16.5.1255.255.255.0vlan50vlan60172.16.6.1255.255.255.0vlan60vlan70172.16.7.1255.255.255.0vlan70vlan80172.16.8.1255.255.255.0vlan80Web服务器172.16.1.2255.255.255.0vlan1FTP服务器172.16.1.3255.255.255.0vlan1DHCP服务器172.16.1.4255.255.255.0vlan1测试主机IP