小型企業網組網方案—IP地址規劃及路由配置
小型企業網組網方案—IP 地址規劃及路由配置學生姓名:X X 指導老師:吳佳英摘 要 本文要實現小型企業網組網的IP 地址規劃及路由配置。為了考慮到小型企業網絡的負載均衡和穩定性能,在拓撲結構中
小型企業網組網方案
—IP 地址規劃及路由配置
學生姓名:X X 指導老師:吳佳英
摘 要 本文要實現小型企業網組網的IP 地址規劃及路由配置。為了考慮到小型企業網絡的負載均衡和穩定性能,在拓撲結構中,本方案采用三層網絡結構。其中,核心層采用兩臺設備,確保網絡的可靠性。路由協議則選擇安全性高、收斂速度快的OSPF 協議。其中用到的路由交換協議還有支持VLAN 間數據傳輸的VTP 協議。我們采用Cisco 交換機帶寬聚合技術將多條物理線路捆綁為一條邏輯鏈路,使其有更高帶寬。對于網絡中可能存在的安全威脅,針對不同的需求,方案中提出了VLAN 技術、訪問控制列表、防火墻技術以及VPN 等安全解決方案,并根據不同層的技術要求選定設備,以求構建一個安全、高效、可靠的企業網絡, 并在GNS3中模擬實現。
關鍵詞 網絡拓撲結構,三層網絡結構,OSPF 協議,VLAN 技術,GNS3
1 引 言
在現在的社會背景下,一個企業要提升競爭力,就必須實現公司信息化,甚至可以說,沒有公司的信息化就沒有競爭力。公司信息化指將信息網絡技術、計算機、Internet 以及電子商務運用到企業的市場調研、產品研發、技術改造、質量控制、供應鏈、資金周轉、成品物流等全過程,從而實現信息化。在這種時代背景下,公司也就要相應地做出信息化的戰略選擇。采用先進的網絡技術,對采用TCP/IP協議的殘聯網絡的IP 地址及域名進行統一分配,以便于有效實現全國殘聯信息網絡的互連,提高殘聯系統內信息交換的效率和穩定性,同時指導各地在網絡設計、建設和運行維護時,規范IP 地址的使用以及網絡、域名和節點的命名,同時加強對名稱和IP 地址使用的統一管理,為殘聯系統網絡內業務的順利運轉奠定基礎。對基于TCP/IP的網絡系統來說,IP 地址的意義是非常重大的。首
,
先它是網絡結構體系的一部分,是實現網絡連接的基本因素。根據Internet 的規定,IP 地址分為三類:A 類地址,最高位是0,隨后的7位是網絡地址,最后24位是主機地址;B 類地址,最高兩位分別是1和0,隨后的14位是網絡地址,最后16位是主機地址;C 類地址,最高的三位是110,隨后的21位是網絡地址,最后8位是主機地址。
1.1本文主要內容
本文就以小型企業為例,重點規是IP 地址規劃以及路由配置。第二節介紹了網絡拓撲、IP 地址劃分技術、基本路由協議的原理。第三節具體介紹IP 地址規劃以及路由配置,包括接入層、匯聚層、核心層具體使用的技術和操配置實現以及規劃設計測試結果,第四節是結束語,對本次課程設計的總結。
1.2 實驗平臺
GNS3是一款優秀的具有圖形化界面可以運行在多平臺(包括Windows, Linux, and MacOS 等)的網絡虛擬軟件。Cisco 網絡設備管理員或是想要通過CCNA,CCNP,CCIE 等Cisco 認證考試的相關人士可以通過它來完成相關的實驗模擬操作。同時它也可以用于虛擬體驗Cisco 網際操作系統IOS 或者是檢驗將要在真實的路由器上部署實施的相關配置。
操作界面如圖1-1所示:
圖1-1 GNS3實驗平臺界面
,
2 設計原理及要求
2.1 IP地址規劃
(1)IP 地址規劃的重要性:
IP 地址的合理規劃是網絡設計的重要環節,大型計算機網絡必須對IP 地址進行統一規劃并得到有效實施。IP 地址規劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展,影響到網絡的管理,也必將直接影響到網絡應用的進一步發展。
(2)IP 地址規劃總體要求
IP 地址空間的分配,要與網絡拓撲層次結構相適應,既要有效地利用地址空間,又要體現出網絡的可擴展性、靈活性和層次性,同時能滿足路由協議的要求,以便于網絡中的路由聚類,減少路由器中路由表的長度,減少對路由器CPU 、內存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時還有考慮到網絡地址的可管理性。
(3)IP 地址規劃將遵循以下總體要求來分配:
唯一性:一個IP 網絡中不能有兩個主機采用相同的IP 地址;
可管理性:地址分配應簡單且易于管理,以降低網絡擴展的復雜性,簡化路由表; 連續性:連續地址在層次結構網絡中易于進行路徑疊合,縮減路由表,提高路由計算的效率;IP 地址的分配必須采用VLSM 技術,保證IP 地址的利用率;采用CIDR 技術,可減小路由器路由表的大小,加快路由器路由的收斂速度,也可以減小網絡中廣播的路由信息的大小。
IP 地址分配盡量分配連續的IP 地址空間;相同的業務和功能盡量分配連續的IP 地址空間,有利于路由聚合以及安全控制;
可擴展性:地址分配在每一層次上都要留有一定余量,以便在網絡擴展時能保證地址疊合所需的連續性;IP 地址分配處理要考慮到連續外,又要能做到具有可擴充性,并為將來的網絡擴展預留一定的地址空間;充分利用無類別域間路由(CIDR )技術和變長子網掩碼(VLSM )技術,合理高效地利用IP 地址,同時,對所有各種主機、服務
,
器和網絡設備,必須分配足夠的地址,劃分獨立的網段,以便能夠實現嚴格的安全策略控制。
靈活性:地址分配應具有靈活性,以滿足多種路由策略的優化,充分利用地址空間;
層次性:IP 地址的劃分采用層次化的方法,和層次化的網絡設計相應,在地址劃分上我們也采用層次化的分配思想,從網絡中心機房開始規劃,再規劃北苑、南苑、家屬區,使地址具有層次性,能夠逐層向上匯聚。
實意性:在公有地址有保證的前提下,盡量使用公有地址,主要包括設備loopback 地址、設備間互連地址;
節約性:根據服務器、主機的數量及業務發展估計,IP 地址規劃盡可能使用較小的子網,既節約了IP 地址,同時可減少子網內網絡風暴,提高網絡性能。
2.2 路由原理
路由器提供了異構網互聯的機制,實現將一個網絡的數據包發送到另一個網絡。而路由就是指導IP 數據包發送的路徑信息。路由協議就是在路由指導IP 數據包發送過程中事先約定好的規定和標準。
為達到路由快速收斂、尋址以及方便網絡管理員管理的目的,我們采用動態路由協議,目前較好的動態路由協議是OSPF 協議和EIGRP 協議,OSPF 以協議標準化強,支持廠家多,受到廣泛應用,而EIGRP 協議由Cisco 公司發明,只有Cisco 公司自己的產品支持,屬于私有性質,其他廠商設備是不支持的。考慮網絡的擴展性、數據資源的保護等原因,我們選擇OSPF 路由協議。
OSPF 路由協議是一種典型的鏈路狀態(Link-state )的路由協議,一般用于同一個路由域內。在這里,路由域是指一個自治系統(Autonomous System),即AS ,它是指一組通過統一的路由政策或路由協議互相交換路由信息的網絡。在這個AS 中,所有的OSPF 路由器都維護一個相同的描述這個AS 結構的數據庫,該數據庫中存放的是路由域中相應鏈路的狀態信息,OSPF 路由器正是通過這個數據庫計算出其OSPF 路由表的。作為一種鏈路狀態的路由協議,OSPF 將鏈路狀態廣播數據LSA (Link State Advertisement)傳送給在某一區域內的所有路由器,這一點與距離矢量路由協議不同。運行距離矢量路由協議的路由器是將部分或全部的路由表傳遞給與其相鄰的路由器。
,
OSPF 協議采用鏈路狀態協議算法,每個路由器維護一個相同的鏈路狀態數據庫,保存整個AS 的拓撲結構(AS 不劃分情況下)。一旦每個路由器有了完整的鏈路狀態數據庫,該路由器就可以自己為根,構造最短路徑樹,然后再根據最短路徑構造路由表。對于大型的網絡,為了進一步減少路由協議通信流量,利于管理和計算。OSPF 將整個AS 劃分為若干個區域,區域內的路由器維護一個相同的鏈路狀態數據庫,保存該區域的拓撲結構。OSPF 路由器相互間交換信息,但交換的信息不是路由,而是鏈路狀態。OSPF 定義了5 種分組:Hello 分組用于建立和維護連接;數據庫描述分組初始化路由器的網絡拓撲數據庫;當發現數據庫中的某部分信息已經過時后,路由器發送鏈路狀態請求分組,請求鄰站提供更新信息;路由器使用鏈路狀態更新分組來主動擴散自己的鏈路狀態數據庫或對鏈路狀態請求分組進行響應;由于OSPF 直接運行在IP 層,協議本身要提供確認機制,鏈路狀態應答分組是對鏈路狀態更新分組進行確認。
相對于其它協議,OSPF 有許多優點。OSPF 支持各種不同鑒別機制(如簡單口令驗證,MD5 加密驗證等),并且允許各個系統或區域采用互不相同的鑒別機制;提供負載均衡功能,如果計算出到某個目的站有若干條費用相同的路由,OSPF 路由器會把通信流量均勻地分配給這幾條路由,沿這幾條路由把該分組發送出去;在一個自治系統內可劃分出若干個區域,每個區域根據自己的拓撲結構計算最短路徑,這減少了OSPF 路由實現的工作量;OSPF 屬動態的自適應協議,對于網絡的拓撲結構變化可以迅速地做出反應,進行相應調整,提供短的收斂期,使路由表盡快穩定化,并且與其它路由協議相比,OSPF 在對網絡拓撲變化的處理過程中僅需要最少的通信流量;OSPF 提供點到多點接口,支持CIDR (無類型域間路由)地址。
因為是小型企業, 考慮后續的發展, 公司現有網絡規劃為area0,內部網絡設備都規劃為area0。后期若有分支機構各區域接入路由器根據區域不同使用動態協議,或者使用靜態路由與動態路由結合的方式。
,
3設計步驟
3.1 企業內IP 規劃及路由配置
根據同組同學的《小型企業網組網方案-拓撲規劃及設備選型》,規劃設備端口IP 地址,如圖3-1所示:
圖3-1 設備端口IP 分配
,
VLAN 的劃分:不同部門放在一個VLAN 下。我將該小型企業分為六個部門,分別是:市場部,人事部,工程部,研發部,財務部,駐外辦事處。每個部門相應的LIAN 是40,80,100,120,160,與其相應的IP 段是192.16.4.0 /24,192.16.8.0 /24,192.16.10.0/24,192.16.12.0/24,192.16.16.0/24,92.16.222.0/24 詳細劃分見表3-1:
表3-1 Vlan劃分表
路由協議規劃:在匯聚層、核心層、出口路由以及駐外辦事處配置OSPF(Open Shortest Path First開放式最短路徑優先)的內部網關協議(Interior Gateway Protocol,簡稱IGP ),通過出口路由與辦事處之間配置Tunnel 口來解決OSPF 鄰居的問題(Tunnel 的具體配置詳見《小型企業網組網方案—VPN 的搭建與配置》)。
3.2 配置步驟
(1)接入層交換機(以L2Switch_1為例, 其他詳細配置見附錄) :
創建Vlan :在vlan database里面創建所需的Vlan : L2Switch_1#vlan database L2Switch_1(vlan)#vlan 120 VLAN 120 added: Name: VLAN0120 L2Switch_1(vlan)#vlan 160 VLAN 160 added: Name: VLAN0160 L2Switch_1(vlan)#exit
,
APPL Y completed.
Exiting....
設置Trunk 口:設置F0/0為Trunk 口作為上聯口:
interface FastEthernet0/0
switchport mode trunk
端口設置Vlan :其他端口劃分為對應的Vlan :
interface FastEthernet0/1
switchport access vlan 160
interface FastEthernet0/2
switchport access vlan 160
interface FastEthernet0/3
switchport access vlan 160
interface FastEthernet0/4
switchport access vlan 160
interface FastEthernet0/5
switchport access vlan 160
interface FastEthernet0/6
switchport access vlan 160
interface FastEthernet0/7
switchport access vlan 160
interface FastEthernet0/8
switchport access vlan 120
interface FastEthernet0/9
switchport access vlan 120
interface FastEthernet0/10
switchport access vlan 120
interface FastEthernet0/11
switchport access vlan 120
interface FastEthernet0/12
switchport access vlan 120
interface FastEthernet0/13
,
switchport access vlan 120
interface FastEthernet0/14
switchport access vlan 120
interface FastEthernet0/15
switchport access vlan 120
(2)匯聚層交換機配置(以L3Switch_1為例, 其他詳細配置見附錄) :
創建Vlan :在vlan database里面創建所需的Vlan ,和接入層相同,不再贅述。 配置接口IP :
interface FastEthernet0/1
no switchport
ip address 172.16.55.1 255.255.255.0
interface FastEthernet0/2
no switchport
ip address 172.16.57.1 255.255.255.0
配置VLAN 的SVI :對各個VLAN 配置地址,這個地址也就是PC 機上所應派發的網關地址。
interface Vlan120
ip address 172.16.12.1 255.255.255.0
interface Vlan160
ip address 172.16.16.1 255.255.255.0
配置Trunk 端口:與下層交換機相連的端口要開啟Trunk ,保證VLAN 之間的通信。 interface FastEthernet0/3
switchport mode trunk
interface FastEthernet0/4
switchport mode trunk
配置DHCP :為不同VLAN 的用戶派發不同的地址,并指定DNS 服務器的地址,使用戶不用手動配置IP 地址。
ip dhcp pool DHCP_120
network 172.16.12.0 255.255.255.0
default-router 172.16.12.1
,
dns-server 172.16.200.11
ip dhcp pool DHCP_160
network 172.16.16.0 255.255.255.0
default-router 172.16.16.1
dns-server 172.16.200.11
配置OSPF :在與核心交換機連接的端口配置IP ,通過OSPF 協議學習內部路由,同時也起到鏈路冗余的作用。
router ospf 100
log-adjacency-changes
network 172.16.12.0 0.0.0.255 area 0
network 172.16.16.0 0.0.0.255 area 0
network 172.16.55.0 0.0.0.255 area 0
network 172.16.57.0 0.0.0.255 area 0
配置Loopback 口:
interface Loopback0
ip address 1.1.1.1 255.255.255.0
配置靜態路由:由于內網學習不倒外網的路由,所以應該配置靜態路由到接入外網的路由器上。下一跳地址配置到接入路由上的最大好處就是即使有一條鏈路斷了,通過路由查詢,依然可以到達路由器上。
ip route 0.0.0.0 0.0.0.0 172.16.61.2
(3)核心交換機配置(以Core_A為例,其他詳細配置見附錄)
配置接口IP :
interface FastEthernet0/0
no switchport
ip address 172.16.59.1 255.255.255.0
interface FastEthernet0/1
no switchport
ip address 172.16.55.2 255.255.255.0
interface FastEthernet0/2
no switchport