摘 要
随着计算机网络的迅猛发展,曾经在园区网中被广泛使用的10M/100M以太网技术、ATM等技术已经渐渐不能适应业务需求。现在,千兆以至10G级别以太网技术正逐渐成为园区网主干的主流技术。因此,许多大型园区网络面临着技术改造或者重新设计。本文针对当前园区网络中存在的设计混乱、层次复杂、稳定性低,安全性不足等一系列问题,采用工程化设计方法,依照行业规范,设计并模拟实现一个园区网络,该网络依照行业规范设计,采用新近成熟的产品与技术,满足用户安全性、通用性、可操作性和拓展性的要求,由于网络设计过程中严格依照行业规范,采用模块化设计思想,因此网络系统各层可移植性强,极大的方便了以后的网络设计工作。 关键词:交换机;路由器;设计;实施
I
Abstract
With the rapid development of computer network, the kinds of business in enterprise or organization have increased, and the data flow of business has risen a lot, the tendence of which is very evident。 The once widely usesd technologies 10/100M Ethernet, ATM etc. gradually fail to meet the demands of business; at the moment, the Ethernet of 1000M or even 10G is becoming the main technology in the major campus network。 In consequence, many large campus network are facing the problems of technology changing or new designing。 Aiming at the problems in campus net and enterprise net such as disorderly design, complicated levels, low stability, lack of security and so on, this thesis will adopt the engineering design method, According to the professional standards, the author of this thesis intends to design and imitate a large scale of campus net. By following the professional standards and adopting the updated products as well as technology, this net can satisfy the users for its security, versatility, manipulation and extension. Because of the strict conformity to professional standards in the designing of the net and the employment of module design technology, every level in this net system can be implanted, which will greatly benefit the net designing work in the future。 keywords:switch;router;design;implement
目 录
摘 要 ...................................................................... I 英文摘要 ................................................................... II 第一章 绪论 ................................................................. 1
1。1 选题来源 ........................................................... 1 1.2 主要内容 ............................................................ 1 1.3 论文结构 ............................................................ 1 第二章 园区网概述 ........................................................... 3
2。1 园区网含义 ......................................................... 3 2.2 园区网特点 .......................................................... 3 2.3 园区网发展趋势 ...................................................... 3 第三章 园区网设计 ........................................................... 4
3.1 需求分析 ............................................................ 4 3.2 网络设计原则 ........................................................ 4 3.3 网络模型设计 ........................................................ 5
3.3。1 核心层(Core Layer) ......................................... 6 3。3。2 汇聚层(Distribution Layer) .................................... 6 3.3。3 接入层(Access Layer) ....................................... 6 3.4 网络模型选择 ........................................................ 6 3.5 园区网络拓扑图 ...................................................... 7 3。6 IP地址规划 ......................................................... 7 3.7 VLAN规划 .......................................................... 8 3.8 路由协议选择 ........................................................ 8 3。9 网络设备选择 ...................................................... 10 3。10 配置规范 ......................................................... 10 第四章 网络安全设计 ........................................................ 12
4.1 VLAN技术 ......................................................... 12 4.2 AAA技术 .......................................................... 13 4。3 VPN技术 .......................................................... 13
III
4。4 防火墙技术 ........................................................ 13 4。5 安装杀毒软件 ...................................................... 14 4.6 其它安全措施 ....................................................... 14 第五章 网络模拟实现 ........................................................ 15
5.1 模拟器介绍 ......................................................... 15 5。2 模拟环境拓扑图 .................................................... 16 5。3 需求实现 .......................................................... 17 5.4 配置方法 ........................................................... 18 第六章 网络测试 ............................................................ 22
6.1 单体测试 ........................................................... 22 6.2 网络连通性测试 ..................................................... 25 6。3 网络冗余性测试 .................................................... 26 第七章 总 结 ............................................................... 30 谢 辞 ...................................................................... 31 参考文献 ................................................................... 32
第一章 绪论
1.1 选题来源
随着计算机网络的迅速发展,曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求,作为园区主干网,10M/100M以太网作为主干网络核心技术带宽不足的弊病渐渐凸显,已经严重影响着园区网络的运行效率,目前仍有许多大型园区网络在使用ATM技术,这样的网络面临两个问题:VLAN间路由的性能不能满足网络需求,并且ATM技术正在逐步被淘汰。现在,千兆以至10G级别以太网技术正逐渐成为园区网络主干的主流技术。因此,许多大型园区网络面临技术改造或者重新设计。针对当今的企业园区网络中存在的设计混乱、层次复杂、稳定性低,安全性不足等一系列问题,本文采用工程化设计方法,依照行业规范,设计并使用路由交换模拟软件模拟实现一个园区网络,通过对本项目的实际操作,增加对网络整体构架的认识,提高自己的网络设计能力,全方位提升自身素质,使大学生摆脱网络学习理论与实践的脱节现象。
1.2 主要内容
本文主要做了以下两个方面的工作:
第一,介绍了园区网络的含义、特点以及未来发展趋势,并且针对现实中存在的实际情况,按照规范化的系统方法规划设计一个完整的园区网络,并针对各种路由协议、设计模型进行了综合对比分析,以选取最符合实际的方案。
第二,使用Dynamips GUI软件配合Secure CRT对部分网络进行了模拟,以实现网络的互通互联,对各层设备进行了配置,并以配置文档的形式给出。
1.3 论文结构
本文共分为八章,第1章是绪论部分,第2章至第6章为论文的主体部分,第7章为总结.
1
第1章:绪论。讲述本论文的选题来源以及选题意义等,并对论文主要研究内容作概述。
第2章:园区网概述.主要是对园区网做概括性阐述,包括其含义、特点、发展趋势,以及园区网建设的必要性。
第3章:园区网设计。详细阐述园区网设计方法,包括需求分析、设计原则、网络模型选择、VLAN及IP地址规划、路由协议选择和网络设备选择等.
第4章:网络安全设计。概括阐述当今流行的VLAN技术、AAA技术、VPN技术和防火墙技术等。
第5章:网络模拟实现。介绍Dynamips GUI和Secure CRT使用方法,给出实验拓扑,并针对实验拓扑给出详细配置方法。
第6章:网络测试。详细介绍网络测试方法以及测试过程中现象以及需要注意的问题。
第7章:总结。介绍自己毕业设计过程总遇到的问题,对毕业设计的过程进行总结。
第二章 园区网概述
2。1 园区网含义
园区网是指为企事业单位组建的办公局域网.典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。
2.2 园区网特点
①园区网是网络的基本单元. ②园区网较适合于采用三层结构设计.
③园区网对线路成本考虑的较少,对设备性能考虑的较多,追求较高的带宽和良好的扩展性。
④园区网的结构比较规整.
2.3 园区网发展趋势
从计算机网络应用角度来看,网络应用系统将向更深和更宽的方向发展,这也相应的影响着未来园区网的发展方向。
首先,Internet信息服务将会得到更大发展.网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的安全性.
其次,远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室走出,不再只是幻想.网络多媒体技术的应用也将成为网络发展的热点话题。
3
第三章 园区网设计
3.1 需求分析
某企业园区刚刚建成,是一大型企业的分支机构,为了实现企业的办公信息自动化,扩大企业的影响,方便和总部的信息交流,需要建立自己企业的Intranet。
企业现在有2幢9层的办公大楼,分别是生产部和销售部,另外还有一个家属区,家属区有3幢6层的大楼,两个相距300米。企业局域网需要考虑覆盖办公区和家属区。局域网需要实现的目标如下:
①实现有效的信息交换和共享。企业通过两条专线接入电信和网通.
②企业需要实现办公自动化。局域网提供企业内部电子邮件收发、信息浏览、文件管理、会议管理、电子公告等多方面应用。
③为了扩大企业的影响,企业对外提供自己的宣传网站,并且能够保证网站安全,不受外部或者内部攻击。
④充分考虑今后各部门的接入扩展性. ⑤充分考虑企业内部网络的安全性。
3.2 网络设计原则
我们遵循以下的原则进行网络设计: ① 实用性
实用性是网络系统建设的首要原则,该网络必须最大限度的满足需求,保证网络服务的质量,否则就会影响日常工作效率。
② 标准化
整个网络从设计、技术和设备的选择,要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求,必须支持国际标准的网络接口和协议,以提供高度的开放性。
③ 先进性
先进性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能,并且能保证在技术上不容易被淘汰。
④ 可扩展性
可扩展性是指该网络系统能够适应需求的变化。随着技术发展,信息量增多和业务的扩大,网络将在规模和性能两方面进行一定程度的扩展。
⑤ 可靠性
网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效,核心设备需要支持冗余备份。
⑥ 安全性
网络安全性在整个网络中是个很重要的问题,网络系统建设应采取一定手段控制网络的安全性,以保证网络正常运行.
⑦ 管理性
随着网络规模和复杂程度的增加,管理和故障排除就会越来越困难。为保障网络中心的正常运行,网络必须易于管理,支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复.
3.3 网络模型设计
核心层汇聚层接入层
图3.1 典型的三层网络模型
三层网络架构采用层次化模型设计,即将复杂的网络设计分成三个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有以下三个层次:
5
3。3。1 核心层(Core Layer)
核心层是网络的高速交换主干,对整个网络的连通起到至关重要的作用.核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等.
该层必须是基于千兆高速交换和路由的设计,设备的性能容量也是最高的(高达百Gbps 容量和每秒千万级数据包转发能力)。主要是由全模块化的高性能多层路由交换机和高性能服务器组成,系统带宽必须是千兆甚至10Gbps。
3。3.2 汇聚层(Distribution Layer)
汇聚层是网络接入层和核心层的“中介\",就是在工作站接入核心层前先做汇聚,以减轻核心层设备的负荷。汇聚层具有实施路由策略、安全、工作组接入、虚拟局域网(VLAN)之间的路由、源地址或目的地址过滤等多种功能。
该层一般采用100M 或1000M的快速交换路由设计,设备的性能容量性也很高,主要由固定配置+可选模块的三层路由交换设备组成.
3。3。3 接入层(Access Layer)
接入层向本地网段提供工作站接入。在接入层中,减少同一网段的工作站数量,能够向工作组提供高速带宽。
访问层是由100M 快速以太网交换机和客户机组成,该层次一般采用100M 快速以太网,采用可管理的固定配置的工作组级别的交换机,能提供多层堆叠功能实现大量用户的接入.
三层网络架构的特点是网络性能高,层次清晰,网络管理直观、方便,并合理地分散了网络设备带来的安全风险,网络结构安全可靠。
3。4 网络模型选择
单核心网络模型适用于规模小,信息节点少,对网络冗余性要求不高的网络,一般中小学网络最为常见,而双核心网络模型适用于规模大,信息节点多,网络冗余性要求高的网络,一般的园区网都使用双核心网络。
3.5 园区网络拓扑图
DHCPS37-3RSR-1FWNPE电信WWW网通DNS服务器群S37-1S37-2家属区办公区 图3.2 三层网络架构的园区网拓扑图
3。6 IP地址规划
在构建基于 TCP/IP 的企业网络时,IP 地址的选择是根据企业网络规模大小从以下三类国际Internet 组织公布的私有网段中产生,这些范围内的IP 地址不在Internet 上传输,是专门提供给企业用来建设内部网络(Intranet):
A 类私有IP: 10.0.0.0 —-10.255。255。255。 B 类私有IP: 172。16。0.0——172.16。31.255。 C 类私有IP: 192。168.0.0——192。168.255。255。
对于小型园区网络,由于上网用户少、设备数量少,建议使用地址空间小的192.168.0。0/16的网络。而对于中大型园区网络,如三层结构的校园网,由于上网人数多,设备数量多,建议采用地址空间大的10.0.0。0/8的网络.
7
3.7 VLAN规划
虚拟局域网(VLAN)是将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中,所有局域网段通过交换机连接到一起,路由器连在交换机上(如果是三层交换机,则不需路由器),可以按网段和站点的逻辑分组形成广播域,通过在局域网交换机内过滤广播包,使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。
虚拟局域网建立以后,能有效地控制网络的广播风暴,减少不必要的资源带宽浪费,并能随着企业规模的发展和调整改变通信流的模式。
VLAN规划需要考虑如下因素:
①用户VLAN与设备管理VLAN分开(IP地址)。 ②为网络扩容进行可汇总的预留设计.
③IP地址与VLAN编号(其它相关因素)有一定的对照性。如图3。3所示:
用户VLANVLAN 100用户IP地址段10.1.100.0/24楼号1
图3。3 IP和VLAN对应规则
根据具体需求与安全性要求等情况综合分析,园区网IP地址详细规划如表3。4所示:
表3。4 IP地址规划表
物理位置 住宿区 VLAN范围 VLAN 10——VLAN 30 办公区 VLAN 40-—VLAN 50 服务器组 VLAN100 202.117。144.1-—202.117。144.253 202。117。144。254 静态指定 172.16。40。0——172.16.50.0/24 172.16.x.254/24 DHCP IP网段 默认网关 获取方式 DHCP 172。16。1.0—-172。16.30。0/24 172。16.x。254/24 3。8 路由协议选择
路由协议可分为距离矢量、链路状态和混合型路由协议。
使用距离矢量路由协议时,所有路由器只能向它的邻居路由器发送自己的整张路由表.然后路由器使用接收到的路由条目确定是否需要更新自己的路由表。这个过程会周期性的重复进行。
与此相反,当网络使用链路状态路由协议时,每个路由器可以向其它所有的路由器发送自己的接口(链路)状态信息,但是这仅仅发生在网络拓扑发生变化的时候,每个路由器使用收到的链路状态信息重新计算自己到每个目标网络的最佳途径,然后把这些路由信息保存到自己的路由表中。
混合型路由协议,顾名思义,该协议借用了距离矢量和链路状态协议的思想。混合型协议能向邻居路由器(类似距离矢量)发送变动的信息(类似链路状态)。
路由协议的比较
①路由信息协议(Routing Information Protocol,RIP)
RIP是一种简单的动态路由协议,RIP至今有两个版本,RIPv1和RIPv2,后者是前者的改进版本,RIP是一种有类的距离矢量路由协议,它最显著的特点是在路由更新报文中不携带子网信息,RIP默认的管理距离是120,它使用跳数做为度量值,最大跳数是15,如果超过15就认为目标网络不可达,所以RIP只能适用于小型的网络中.
②内部网关路由协议(Interior Gateway Routing Protocol,IGRP)
IGRP是Cisco私有的协议,其目的是为了取代RIP,它也是一种距离矢量路由协议,IGRP克服了RIP的一些严重缺陷,如IGRP在计算路由度量值时没有使用跳数,而是采用链路特征,因此要优于RIP协议。但由于IGRP是Cisco私有的协议,非Cisco厂商的设备不能支持IGRP协议,它的改进版是EIGRP。
③增强型内部网关路由协议(Enhanced Interior Gateway Routing Protocol,EIGRP) EIGRP是增强型的IGRP协议,它是一种典型的平衡混合路由选择协议,它融合了距离矢量和链路状态两种路由协议的优点,使用一种散射更新算法,实现了很高的路由性能,但由于EIGRP也是Cisco私有协议,不能在其它非Cisco设备上使用,它的应用也受到了限制。
④开放最短路径优先(Open Shortest Path First,OSPF)
OSPF是一种典型的链路状态、无类别IP路由协议,OSPF能够适应大型IP网络的扩展,而基于距离矢量的IP路由协议如RIP和IGRP则不能适应这种网络。OSPF基于链路状态,其路由是基于网络地址及链路状态度量的。作为一种自适应协议,OSPF可以根据网络状态故障情况自动调整,具有收敛时间短的优点,有利于路由表的快速稳定,这样使
9
OSPF可以支持大型的网络。OSPF的设计可以防止通信数据形成环路,这对于网状网络或由多个路由器实现的不同局域网互联非常重要.
OSPF还有其它一些特性:
①使用了区域的概念,有效的减少了路由选择协议对路由器的CPU和内存的占用率,划分区域还可以降低路由协议的通信量,从而使构建层次化互联网成为可能。
②完全无类别地处理地址问题,排除了有类路由协议存在的问题。 ③支持使用多条路由路径的、效率更高的负载均衡。
④使用保留的组播地址来减少对不运行OSPF协议的设备的影响。 ⑤支持更安全的路由选择认证. ⑥使用可以跟踪外部路由的路由标记。
经过各种路由协议的对比和选择,园区网适合采用OSPF路由协议。
3。9 网络设备选择
通过对目前市场上设备的性能分析,结合企业实际和对网络扩展性的考虑,以及基于高性能、全交换,可扩展性强,系统安全,保密性高,管理简单,保护投资的选择原则,选择了以下4 款设备:
出口设备:RG—WALL 1600 1台;RSR20-18 1台;RG-NPE60E 1台. 核心设备:S8610 2台,配置千兆光缆接口4块。 汇聚设备:S3560—24 4台,每台配置2块千兆光缆接口. 接入设备:S2126G二层交换机4台。 链路设备:万兆光纤、千兆光纤、双绞线。
3。10 配置规范
①主机命名规范
如果客户有规范或明确合理要求,则按照客户的规范或要求进行配置.如金融行业规范。如果客户没有规范或明确合理要求,可参考设备位置、网络位置、设备型号、设备编号等因素,在项目中制定统一的命名规范。主机命名规范如下图3.5所示:
WLZX-Core-8610-1设备编号,如1代表第一台设备设备型号,如直接用设备型号作为标识设备网络位置,如Core代表核心设备设备所处地理位置,如网络中心,缩写为WLZX
图3.5 主机命名规范
②设备互联接口描述
项目中所有涉及到可网管设备互联的端口必须配置端口描述。如图3.6所示:
interface GigabitEthernet6/1description connect_to_RSR-1_Gi6/22该端口Gi6/1所连接的对端设备名称该端口Gi6/1所连接的对端设备的端口号 图3.6 互联接口描述
③登陆密码配置
项目中所有可网管设备必须配置特权密码及远程登陆密码。 ④系统时间配置
项目中所有可网管设备必须重新设置正确的系统时间。 ⑤二层交换机管理IP配置
项目中可网管二交换机必须配置管理IP地址,供管理员远程管理设备所用。
11
第四章 网络安全设计
园区网的安全是一个综合问题,它包含网络设备和人为因素两个方面以及与外网(Internet)接口上的安全问题。网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则,从用户的角度考虑,当网络所需的服务不可用时,不管是何种原因,网络就失去了实际价值.从另一角度看,当某种网络服务的响应时间变得变幻莫测时,网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高安全性。
4。1 VLAN技术
VLAN技术是通过路由和交换设备,在网络的物理拓扑基础上建立的一个逻辑的网络。VLAN可以看作是一个广播域,它们不受地理位置的限制而像处于同一LAN上那样相互交换信息.VLAN是在交换网络中实现的.每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发,并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制VLAN中的用户数量,禁止那些没有得到许可的用户加入到某个VLAN中。这样,可以控制用户对网络资源的访问,控制广播组的大小和组成,并借助网管软件在发生非法入侵时通知管理员。交换机上划分VLAN方法如图4。1所示:
交换机1234VLAN 10VLAN 20广播域广播域
图4。1 交换机划分VLAN方法
4。2 AAA技术
AAA认证体系结构包括鉴别(Authentication)、授权(Authorization)和记账(Accounting).
鉴别过程主要完成用户身份识别,并为该用户指定特权级别,控制该用户对网络资源和服务的访问和使用,在允许访问前,用户必须首先通过鉴别。
授权过程决定用户或用户组可以访问的指定服务和网络资源,该过程也定义在用户在资源上的可执行的操作。
记账的过程主要是收集信息,以确定谁在使用哪些资源。
4。3 VPN技术
虚拟专用网(Virtual Private Network,VPN)技术的基本思路是充分利用现有的公用网络来建立一个私有的、安全的连接,即建立一条穿过混乱的公用网络的安全、稳定的隧道,同时避免昂贵的专线租用费用,它使用的是建立在物理连接基础上的逻辑连接,客户并不能意识到实际的物理连接,而且在穿越Internet进行路由时,其安全性与在专用网络中进行安全路由的安全性基本相同。
4。4 防火墙技术
目前,在保护计算机网络安全的设备中,使用最多的就是防火墙。防火墙是在两个网络之间执行控制策略的系统,这两个网络中,通常一个是要保护的内部网,一个是外部网,防火墙在内部网和外部网之间构成一道屏障,通过检测、限制或者更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵或攻击,达到对内部网的安全保护.防火墙原理如图4.2所示:
13
黑客禁止服务器或用户
图4。2 防火墙原理图
4。5 安装杀毒软件
网络的普及带来了计算机的飞速发展,计算机进入了寻常百姓家,个人电脑的安全问题显得尤为重要,尤其是政府重点部门,在防毒杀毒、系统保护方面等方面提出更高的要求,销售防毒杀毒产品的公司很多,如国外的诺顿、卡巴斯基,国内的360、金山等。
4.6 其它安全措施
服务器本身的安全考虑:不同的功能应尽量分布在不同的主机上,出于节省投资,有时需要将多种应用系统合并到一台物理主机上承载,例如,一台服务器同时提供HTTP 服务和数据库服务。考虑服务器合并时,不仅考虑它的承载能力和处理能力,还要考虑合并的各种服务的安全级别.不要把对外服务的应用与对内管理的应用合并.
操作系统:授予不同用户不同的权限.
应用软件:在应用软件开发中,也需要考虑分级权限控制,以防止错误操作引起系统数据丢失。
最后系统管理员要养成良好的安全管理习惯,例如:定期修改管理员口令,避免使用规律的、易猜测的密码,定期检查安全漏洞等。
第五章 网络模拟实现
5。1 模拟器介绍
Dynamips GUI 是由国人CCIE小凡开发的一个思科模拟器图形前端.它不仅整合了思科所有的IOS模拟器,而且还整合了BES以及VPCS。小凡模拟器(Dynamips GUI)是一个学习配置思科设备的很好的工具,它能在PC 机的环境下真实运行思科设备 IOS,绝大部分命令都支持,就和在真实思科设备上运行相差无几。Dynamips GUI主界面如图5。1所示:
图5。1 Dynamips GUI主界面
Secure CRT 将SSH的安全登录、数据传送性能和Windows终端仿真提供的可靠性、可用性和可配置性结合在一起。通过它可以登录到路由器和交换机上对设备进行配置和备份等操作.Secure CRT主界面如图6.2所示:
15
图5.2 Secure CRT主界面
5.2 模拟环境拓扑图
由于园区网络规模过大,本次只能针对对部分重要节点和典型区域进行模拟配置工作,在此次实验中,使用Cisco 3640路由交换机模拟整个实验,IOS使用c3640—jk9o3s-mz.124-16a.bin,模拟器网络拓扑如图5。3所示:
RSR-1S0/0F1/0192.168.1.0/24F0/0F0/0212.1.1.0/24S0/0F2/0192.168.2.0/24ISPS57-1F0/1F0/2F0/14F0/15F0/2S57-2F0/1F0/1F0/2F0/1F0/2S26-1F0/3F0/3S26-2vlan 10vlan 20
图5.3 模拟器网络拓扑
5.3 需求实现
某园区网拓扑及规划上图所示,其中RSR—1是园区网出口路由器,RSR-1和ISP之间互联接口是S0/0,互联地址分别是212。1.1.1/24和212.1。1。2/24。两台S57是园区网核心设备,和RSR-1互联地址段是192.168.1.0/24和192。168。2。0/24。S26—1和S26-2是两台接入设备,下联用户VLAN 10和VLAN 20,对应用户子网分别是192。168。10。0/24和192.168.20.0/24,网关分别是192。168。10。254和192.168。20。254。RSR—1、S57—1和S57-2运行OSPF,都属于AREA 0。
实现以下需求:
①所有通过S26接入的用户IP地址必须动态获得,不允许私设IP地址,DHCP服务器是两台S57交换机。
②S26上连接用户的端口必须能够快速收敛,防止可能存在的环路,其它不
17
用的端口必须手动关闭。
③S57—1为VLAN 10的根网桥,S57-2为VLAN 20的根网桥。S57-1和S57-2交换机上的端口f0/14-15加入port-channel 1,并把port-channel 1设为trunk模式。
④两台三层交换机上配置HSRP或者VRRP协议,为了实现冗余备份和负载均衡,在S57—1上,VLAN 10为Active,VLAN 20为Standby;在S57-2上,VLAN 10为Standby,VLAN 20为Active。
⑤用户需要访问ISP的网络时,其中VLAN 10的数据路径是S26—1--S57—1——RSR—1—-ISP,VLAN 20的数据路径是S26—2——S57-2——RSR—1—-ISP,两条路径互为主备。
⑥在RSR—1上配置动态NAT,实现内部网络私有地址到外部网络公有地址的转换。
5.4 配置方法
①预配置
每台设备的预配置如下(以S26为例): Router#config t //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z。 Router(config)#no ip do lo //关闭设备的域名解析 Router(config)#host S26 //给设备命名
S26(config)#enable secret ruijie //设置进入特权模式的密码 S26(config)#line con 0
S26(config—line)#no exec—t //关闭console口的超时退出 S26(config—line)#loggin syn //启用console口的日志同步功能 S26(config-line)#exit ②配置VTP
为了便于管理VLAN,需要在每台交换机上配置VTP协议,汇聚层设备为VTP Server,接入层设备为VTP Client。在配置VTP协议前,需要将相连的交换机之间直连的端口设置为trunk模式,且VTP domain必须相同,才可以交换VTP信息。这里以S57-1为例:
S57—1#vlan data //进入VLAN数据库模式 S57-1(vlan)#vtp server //设置VTP Server S57-1(vlan)#vtp domain test //设置VTP 域名 S57—1(vlan)#vtp pass 123 //设置VTP密码 S57-1(vlan)#vtp pruning //启用VTP裁剪 S57-1(vlan)#exit //保存并退出 ③配置STP
配置STP协议是为了防止发生二层网络的环路,并且还可以进行二层的冗余备份,这里修改网桥的优先级,实现VLAN 10的流量走S57-1,VLAN 20的流量走S57-2。以S57-1为例:
S57-1(config)#spanning—tree vlan 1 priority 4096
S57-1(config)#spanning—tree vlan 10 priority 4096 //设置vlan10对应的网桥优先级
S57—1(config)#spanning-tree vlan 20 priority 8192 ④Port—channel接口配置
配置Port—channel既可以增加链路带宽,同时也可以实现链路的冗余备份。这里以S57—1为例:
S57-1(config)#int range f0/14 — 15
S57—1(config—if—range)#channel-group 1 mode on S57—1(config)#interface port—channel 1
S57-1(config—if)#switchport trunk encapsulation dot1q //封装dot1q S57—1(config—if)#switchport mode trunk //配置trunk ⑤配置HSRP协议
在S57-1和S57—2上配置HSRP协议,可以实现网关设备的冗余。在S57-1上,设置VLAN 10为Active,VLAN 20为Standby,在S57-2上设置VLAN 10为Standby,VLAN 20为Active。
S57—1(config)#int vlan 10
S57-1(config—if)#standby 10 ip 192.168.10.254 //设置虚拟网关的IP地址
S57—1(config-if)#standby 10 priority 120 //设置HSRP的优先级,默认为
19
100
S57—1(config—if)#standby preempt //开启抢占模式,配置此命令后,当路由器发现本机优先级比现在任何同一Standby组中的Active路由器高时,则本机将成为Active,当前Active路由器则降为Standby.
S57—1(config-if)#standby 10 track f0/0 50 //开启接口追踪,当发现跟踪端口Down时,本路由器standby priority自动降低50
S57-1(config—if)#exit S57-1(config)#int vlan 20
S57-1(config—if)#standby 20 ip 192。168。20。254
S57-1(config—if)#standby preempt //在Standby网段也需要配置抢占模式,目的是为了当Active路由器Down时,本路由能够迅速有Standby成为Active。
⑥配置DHCP
由于在大型的园区网中,为每一个接入设备手工配置IP地址是一件非常耗费时间的事情,所以在一般的园区网中采用DHCP动态分配IP地址,这样可以减少客户机的配置复杂度,减少手工配置IP地址导致的错误。
S57-1(config)#service dhcp //开启DHCP服务 S57-1(config)#ip dhcp pool v10 //给地址池命名
S57—1(dhcp—config)#network 192.168。10.0 //定义需要分配的网段 S57—1(dhcp—config)#default—router 192。168.10.254 //指定默认网关 S57—1(dhcp—config)#dns—server 200.200。200。43 //指定DNS服务器地址
S57-1(dhcp—config)#exit
S57—1(config)#ip dhcp excluded-address 192.168。10。252 //定义需要排除的地址
S57—1(config)#ip dhcp excluded—address 192。168。10。253 S57-1(config)#ip dhcp excluded—address 192。168。10。254 S57-1(config)#ip dhcp pool v20
S57—1(dhcp-config)#network 192。168。20。0 S57-1(dhcp-config)#default—router 192.168.20.254 S57—1(dhcp-config)#dns—server 200。200.200。43
S57-1(dhcp—config)#exit
S57—1(config)#ip dhcp excluded-address 192。168.20。252 S57-1(config)#ip dhcp excluded-address 192。168.20.253 S57-1(config)#ip dhcp excluded-address 192。168。20。254 S57—1(config)#exit ⑦配置NAT
NAT用于解决IP地址短缺问题,由于内部网络的私有IP地址不能在公网上通过路由器转发,所以出口路由器需要配置动态NAT进行地址转换,这样不仅可以解决不能访问外网的问题,还可以保护内部网络,免受来自外部网络的攻击。
RSR—1(config)#access—list 10 permit 192。168。10.0 0.0。0.255 //使用ACL抓取感兴趣的流量
RSR—1(config)#access—list 10 permit 192。168.20。0 0.0。0.255 RSR—1(config)#ip nat pool cisco 212.1.1.3 212.1。1.20 netmask 255。255。255。0 //配置地址池
RSR-1(config)#ip nat inside source list 10 pool cisco overload //把地址池和ACL应用到NAT中
RSR—1(config)#int s0/0
RSR—1(config)#ip nat outside //指定需要进行地址转换的接口 RSR-1(config)#int f1/0 RSR-1(config)#ip nat inside RSR-1(config)#int f2/0 RSR—1(config)#ip nat insid
21
第六章 网络测试
一个刚刚建成的新网络,必须进行一些列严格的测试,才能保证网络的正常运行,网络测试一般包括单体测试、连通性测试、冗余性测试。
6.1 单体测试
单体测试的目的是测试各设备是否能正常工作,有没有硬件或者软件问题。 ①笔记本连接到待测设备的console口,给设备加电。
②进入到命令行界面,用show version,show diag等命令查看设备序列号,检查各模块是否正常工作。如下所示:
RSR—1#show version Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12。4(16a), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Mon 10-Sep—07 12:25 by prod_rel_team ROM: ROMMON Emulation Microcode ROM: 3600 Software (C3640-JK9O3S-M), Version 12。4(16a), RELEASE SOFTWARE (fc2) RSR-1 uptime is 24 minutes System returned to ROM by unknown reload cause — suspect boot_data[BOOT_COUNT] 0x0, BOOT_COUNT 0, BOOTDATA 19 System image file is ”tftp://255.255.255。255/unknown\" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use。 Delivery of Cisco cryptographic products does not imply third—party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U。S. and local country laws. By using this product you
agree to comply with applicable laws and regulations。 If you are unable to comply with U.S. and local laws, return this product immediately。 A summary of U。S. laws governing Cisco cryptographic products may be found at: http://www。cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com。 Cisco 3640 (R4700) processor (revision 0xFF) with 94208K/4096K bytes of memory. Processor board ID 00000000 R4700 CPU at 100MHz, Implementation 33, Rev 1。2 2 FastEthernet interfaces 4 Serial interfaces DRAM configuration is 64 bits wide with parity enabled. 125K bytes of NVRAM。 8192K bytes of processor board System flash (Read/Write) Configuration register is 0x2142 RSR-1#show ip route Codes: C - connected, S — static, R - RIP, M — mobile, B — BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2 E1 — OSPF external type 1, E2 — OSPF external type 2 i - IS—IS, su — IS-IS summary, L1 — IS-IS level—1, L2 - IS-IS level-2 ia - IS—IS inter area, * - candidate default, U - per—user static route o - ODR, P — periodic downloaded static route Gateway of last resort is 0。0。0.0 to network 0。0。0。0 3。0.0。0/32 is subnetted, 1 subnets C 3。3。3.3 is directly connected, Loopback0 O 192.168.10。0/24 [110/2] via 192。168.1.2, 00:20:38, FastEthernet1/0 212.1。1.0/24 is variably subnetted, 2 subnets, 2 masks 23
C 212。1。1.0/24 is directly connected, Serial0/0 C 212.1.1.1/32 is directly connected, Serial0/0 O 192。168.20.0/24 [110/2] via 192。168。1.2, 00:20:38, FastEthernet1/0 C 192.168。1。0/24 is directly connected, FastEthernet1/0 C 192.168。2.0/24 is directly connected, FastEthernet2/0 S* 0.0.0.0/0 is directly connected, Serial0/0 RSR-1#show diag Slot 0: Mueslix—4T Port adapter, 4 ports Port adapter is analyzed Port adapter insertion time unknown EEPROM contents at hardware discovery: Hardware revision 1.1 Board revision B0 Serial number 10300772 Part number 800-02314-02 FRU Part Number NM-4T= Test history 0x0 RMA number 00-00-00 EEPROM format version 1 EEPROM contents (hex): 0x00: 01 54 01 01 00 9D 2D 64 50 09 0A 02 00 00 00 00 0x10: 58 00 00 00 98 11 03 00 00 05 FF FF FF FF FF FF 0x20: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0x30: FF FF FF FF FF FF FF FF FF FF FF FF Slot 1: Fast-ethernet Port adapter, 1 port Port adapter is analyzed Port adapter insertion time unknown EEPROM contents at hardware discovery: Hardware revision 1.0 Board revision B0 Serial number 7720321 Part number 800—03490-01 FRU Part Number NM—1FE—TX= Test history 0x0 RMA number 00—00-00 EEPROM format version 1 EEPROM contents (hex): 0x00: 01 44 01 00 00 75 CD 81 50 0D A2 01 00 00 00 00
0x10: 58 00 00 00 98 03 20 00 FF FF FF FF FF FF FF FF 0x20: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0x30: FF FF FF FF FF FF FF FF FF FF FF FF Slot 2: Fast—ethernet Port adapter, 1 port Port adapter is analyzed Port adapter insertion time unknown EEPROM contents at hardware discovery: Hardware revision 1.0 Board revision B0 Serial number 7720321 Part number 800-03490—01 FRU Part Number NM-1FE-TX= Test history 0x0 RMA number 00-00—00 EEPROM format version 1 EEPROM contents (hex): 0x00: 01 44 01 00 00 75 CD 81 50 0D A2 01 00 00 00 00 0x10: 58 00 00 00 98 03 20 00 FF FF FF FF FF FF FF FF 0x20: FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 0x30: FF FF FF FF FF FF FF FF FF FF FF FF
6.2 网络连通性测试
用笔记本分别连接到不同交换机的不同VLAN下,用ping命令测试这些地址是否可达。
①测试到网关连通性
PC1#ping 192。168.10。254 Type escape sequence to abort。 Sending 5, 100-byte ICMP Echos to 192.168。10.254, timeout is 2 seconds: !!!!! //网络通畅 Success rate is 100 percent (5/5), round—trip min/avg/max = 60/128/228 ms PC2#ping 192.168.20。254 Type escape sequence to abort. 25
Sending 5, 100—byte ICMP Echos to 192.168。20。254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round—trip min/avg/max = 28/250/1116 ms ②测试到ISP连通性
PC1#ping 100.100。100。100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 100。100.100.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 144/366/604 ms PC2#ping 100.100.100。100 Type escape sequence to abort。 Sending 5, 100-byte ICMP Echos to 100.100。100.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 232/332/508 ms ③测试不同VLAN连通性
PC1#ping 192.168.20.1 Type escape sequence to abort。 Sending 5, 100—byte ICMP Echos to 192。168。20。1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round—trip min/avg/max = 76/148/216 ms PC2#ping 192.168。10。1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192。168.10.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 108/183/340 ms 6.3 网络冗余性测试
①二层链路冗余测试
S26—1#show spanning—tree vlan 10 brief VLAN10 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 4096 Address cc00。1338.0001 Cost 3019 Port 2 (FastEthernet0/1) Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 49152 Address cc00.16a4。0001 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID ——-------———----——-— -—----- ———- --——- --- —--—- -—-———-——————-——---- --—-—-— FastEthernet0/1 128.2 128 3019 FWD 0 4096 cc00.1338。0001 128。2 FastEthernet0/2 128。3 128 3019 BLK 12 8192 cc00.03c4。0001 128。3 FastEthernet0/3 128。4 128 3019 FWD 3019 49152 cc00。16a4.0001 128.4 S26—1(config)#int f0/1 S26—1(config-if)#shutdown //关闭f0/1,模拟故障 S26—1(config—if)# S26—1#show spanning-tree vlan 10 brief VLAN10 Spanning tree enabled protocol ieee uplinkfast enabled Root ID Priority 4096 Address cc00。1338.0001 Cost 3031 Port 3 (FastEthernet0/2) 27
Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 49152 Address cc00.16a4.0001 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 300 Interface Designated Name Port ID Prio Cost Sts Cost Bridge ID Port ID —----—------—--—--—- -——---— ---— ----- --- ———-- ——-—-——-—-—-——--—--— —-——--— FastEthernet0/2 128。3 128 3019 FWD 12 8192 cc00.03c4。0001 128.3 FastEthernet0/3 128.4 128 3019 FWD 3031 49152 cc00.16a4.0001 128.4 PC1#ping 100。100.100.100 Type escape sequence to abort。 Sending 5, 100-byte ICMP Echos to 100.100。100.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round—trip min/avg/max = 384/452/540 ms
②三层网关冗余测试
S57—2#show standby br P indicates configured to preempt。 | Interface Grp Prio P State Active Standby Virtual IP Vl10 10 100 Standby 192。168。10。253 local 192。168.10.254 Vl20 20 110 Active local 192。168.20.252 192.168.20.254 S57-1(config)#int f0/0 S57—1(config—if)#shut //关闭f0/0,模拟故障 S57—1(config—if)#end S57-2#show standby b P indicates configured to preempt. | Interface Grp Prio P State Active Standby Virtual IP
Vl10 10 100 P Active local 192。168.10.253 192.168.10.254 Vl20 20 110 Active local 192.168。20.252 192。168。20.254 PC1#ping 192。168.10。254 Type escape sequence to abort。 Sending 5, 100-byte ICMP Echos to 192.168.10.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round—trip min/avg/max = 20/37/96 ms
经过以上一系列测试,模拟器中模拟实现的网络具有良好的连通性与可拓展性,由于模拟器支持命令不全以及自身经验限制的一些原因,有一些功能尚未能在模拟器中实现,在以后的工作中,我将不停的学习,努力探索,使自己的网络技术达到更高的水平.
29
第七章 总 结
毕业设计已经快结束了,回想起做毕业设计的过程,感受颇深。开始接到
这个题目的时候,觉得它不是很难,那时候的自己是信心满满的想着一定要把这个题目认真做好。当设计规划网络的时候,感觉到力不从心,虽然自己学习了些网络知识,可是感觉不能很好的把所学的知识运用到实际工程当中。在遇到困难之际就到技术论坛上搜索各种各样的设计方案,从中学习网络的整合、设计、各层之间的关系等知识,设计工作也慢慢的走向正轨。这些经历和磨难,让我学习到了许多,最重要的是让我了解到网络工程的学习是与无止境的,你必须一刻也不能停歇的学习,而不是眼高手低的认为自己已经很强了。
园区网络的标准化是以后网络设计的一个大趋势,各种大中型公司、企业、园区的网络标准化改造势在必行,同时路由交换的网络设备的配置是一个网络工程人员的必备知识,这次能够跟随陈老师完成毕业设计,不仅提高了自己在专业方面的素养,还历练了自己的文献搜索、英文阅读等方面的能力。
由于知识和时间的限制,毕业设计完成的不是很满意,不过,以后我会在以后的时间里对园区网络与设备配置方面做更深一步的了解,在以后的工作中不断充实和完善自己。
谢 辞
31
参考文献
[1] 张新有。网络工程技术与实验教程[M]。北京:清华大学出版社,2009:203-298
[2] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2009:386—397 [3] Paul Buis,Chris Hare.Internet Security[M].USA:New Riders Pub,1996:126—230
[4] Ian Foster ,Carl Kesselman , Steven Tuecke。 The anatomy of the grid:Enabling
scalableVirtualorganizations[J].InternationalJournalSupercompu-terApplications,2001 5(3):200-222
[5] David Ferraiolo,John F Barkley, D Richard Kuhn. A rolebased access con—trol model and reference implementation with in a corrporate Intranet[J].ACM Trans on Information and System Security,1999,2(1):34-64
[6] FermiNationalAcceleratorLaboratory,Batavia,IL,U.S。A. Tools for Distributed Monitoring of the Campus Network with Low Latency Time[J]。2001。5:421—423 [7] 翁昌晶,刘谦。一个大型医院千兆园区网的方案设计与实施[J],海口:湖南省人民医院信息中心,2002:8-18
[8] 李艳花,聂勇海,王剑.企业园区网的构建[J],太原:北方自动控制技术研究所,2010:38-40
[9] 杨芳。校园网络安全体系设计与实施[D],武汉:华中科技大学,2005 [10] 邓晓君.浅谈企业园区网的构建[J],上海:中国航空研究所,2010:45-50 [11] David F Ferraiolo,John F Barkley, D Richard Kuhn。 A rolebased access control model and reference implementation with in a corrporate Intranet[J].ACM Trans on Information and System Security,1999,2(1):34—64 [12] N。 Sulaiman and C.Y。 Yaakub. WIRELESS LAN[J]。2010。4:8—12
[13]段国云,周迪民.以太网技术在校园网可靠性设计中的应用[J],湖南:湖南科技学院 现代教育技术中心,2011:60-70
[14]陈玉芳,王建文,李秀梅,杨振兴.浅析局域网ARP攻击及其防御策略[J],
沧州:湖北工程技术高等专科学校 计算机系,2010:39-45
33
因篇幅问题不能全部显示,请点此查看更多更全内容