精华内容
下载资源
问答
  • 2021-05-13 21:31:19

    中小型企业局域网的组网方案

    更多相关内容
  • 资源名称:第一期:中小企业组网方案分析与探讨资源目录:【】(中小企业组网--大侠唐在飞)PPT【】大侠唐在飞讲解中小型网络拓扑结构【】中小企业组网方案分析与探讨【】第一期中小企业级组网拓扑图VISIO版本 教程...
  • 小型企业组网方案

    2020-03-04 15:45:58
    小型企业组网方案主要要素有:局域网、广域网连接、网络管理和安全性。Cisco的解决方案充分考虑了这些要素。从总体上看,Cisco的解决方案具有以下共同的特征。第一,它采用高性能、全交换的方案,充分满足了用户...
  • (完整版)中小型企业组网方案

    千次阅读 2020-12-24 19:40:48
    中小型企业组网方案目录摘要…………………………………………………………………………2关键字………………………………………………………………………21企业组建局域网可行性分析……………………………………...

    中小型企业组网方案

    摘要

    …………………………………………………………………………2

    关键字

    ………………………………………………………………………2

    1

    企业组建局域网可行性分析

    ……………………………………………2

    1.1

    从公司对信息的需求来看……………………………………………2

    1.2

    从公司对信息的需求来看……………………………………………2

    2

    对公司现状分析及组网能力分析

    ……………………………………3

    2.1

    从目前局域网的拓扑结构来看………………………………………3

    2.2

    现有设备及基本情况…………………………………………………3

    2.3

    公司目前对组网消费的承受能力……………………………………3

    3

    主流组网技术的分析与比较

    ……………………………………………3

    3.1

    从目前局域网的拓扑结构来看………………………………………4

    3.2

    从介质访问控制方法的角度来看……………………………………4

    3.3

    从主流局域网传输速度来看…………………………………………4

    4

    组网方案及网络设备的选定

    ……………………………………………5

    4.1

    选定方案原则…………………………………………………………5

    4.2

    局域网的构型及主要设备的选定……………………………………5

    4.3

    布线的比较与选择……………………………………………………8

    4.4

    操作系统的选择………………………………………………………9

    5

    基本网络规划

    ……………………………………………………………11

    5.1

    ADSL

    方式宽带接入

    Internet…………………………………… 11

    5.2 IP

    地址申请,子网划分与子网掩码的设置…………………………12

    6

    总成本核算

    ……………………………………………………………………13

    参考文献

    …………………………………………………………………………13

    展开全文
  • 1.2 网络应用需求 4 1.3 网络性能需求 6 1.4 信息点统计 6 第2章 网络总体设计 7 2.1 网络设计总体要求 7 2.1布线的设计 8 2.2 楼宇间互连的介质选择 9 2.3 主干网带宽的考虑 9 2.4 客户机的带宽分析 10 2.5网络三层...
  • 中小型企业网络安全加固方案.pdf
  • 企业拥有多个部门,如财务部、研发部、技术部等,每个部门使用的 IP 地址网段各不相同。为了便于管理,现需要将同一种部门的业务划分到同一 VLAN ,不同类型的部门划分到不同 VLAN 。二层交换原理二层交换是指...

    某企业拥有多个部门,如财务部、研发部、技术部等,每个部门使用的 IP 地址网段各不相同。为了便于管理,现需要将同一种部门的业务划分到同一 VLAN 中,不同类型的部门划分到不同 VLAN 中。

    二层交换原理

    二层交换是指数据帧在数据流链路层的转发。二层数据的转发是依据链路层信息MAC地址来完成的。交换机通过解析和学习数据帧的源MAC地址建立MAC地址表,根据目的MAC来查找MAC地址表决定向哪个端口转发数据帧。

    总结:根据收到报文源Mac地址学习MAC,根据目的MAC进行转发

    二层交换机数据帧转发原理 - 单播

     二层交换数据转发流程图

     

     

    MAC地址学习

    初始网络

    收到报文学习源MACVlan基础 

    VLAN(Virtual Local Area Network)是虚拟局域网的简称,是指将一个或者多个局域网中的设备通过配置,能够像连接在一个信道中进行通信,实际它们分布在不同的局域网网段中。

    802.1Q是IEEE定义的标准格式,在以太网帧中增加4字节Vlan tag。在802.1Q帧的帧结构,帧中的tag字段中有一个12位的VLAN ID,指明该数据帧所属的VLAN的ID。

    每个支持802.1Q标准的设备发送的数据帧都会包含该域,该字段为12比特,理论上支持2^12=4096个VLAN,范围为0-4095,但是VLAN0用于识别帧的优先级,4095作为预留值,所以可用的VLAN ID范围为1-4094。

    VLAN有着跟物理网络同样的属性,可以隔离二层流量的作用。

    VLAN隔离广播区域、逻辑上划分物理网络。

    简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能收到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。同时, 若没有路由,不同VLAN之间不能相互通信,从而提高了不同工作组之间的信息安全性。网络 管理员可以通过配置VLAN之间的路由来全面管理网络内部不同工作组之间的信息互访。

    VLAN的作用:

    减小广播域:根据交换机的转发原理,如果转发一个数据帧在MAC地址表中无法找到匹配的表项时,那么这就是一个未知的单播帧,交换机就会将其从所有接口泛洪出去。同样的,如果交换机接收到一个广播帧,也会将其从所有接口转发出去。这样势必极大浪费了网络的带宽,同时还影响交换机的性能。如果配置了VLAN,我们可以将这样的泛洪行为限制在极少数端口范围内,而不是所有端口,因为交换机VLAN划分的粒度为单个端口,这样在一定的程度上提高了网络性能并且节省了带宽。
    提高安全性:如果一个VLAN中的主机遭受到了来自二层的网络威胁,由于VLAN的存在,那么二层不同VLAN无法相互访问,这样威胁就不会导致其他VLAN的主机受影响,极大提高了网络的安全性。同时,类似本项目中的场景,财务部会存在相关财务方面的涉密信息,同样的市场部也会存在市场营销方面的涉密数据,例如用户信息等,正是有了VLAN的存在,不同的部门之间的涉密信息得到了很好的隔离。
    灵活组网:可以说VLAN非常适合动态的网络维护和管理,由于公司人员办公地点的改变或者临时办公环境的搭建,他的网络属性(包括IP地址、子网掩码等)不需要进行重新配置,只需要网络管理员将新地点的网络接口重新进行VLAN的划分即可,实现了灵活的网络组网。

    VLAN划分

    ——基于子网的VLAN技术

    ——基于协议的VLAN技术

    ——基于MAC的VLAN技术

    ——基于端口的VLAN技术

    基于端口的VLAN技术,根据PC的物理位置进行VLAN划分。

    跨交换机VLAN互通

    Access链路与Trunk链路

    每个802.1Q Trunk接口都有1个Native Vlan,默认为Vlan 1。 在802.1Q Trunk接口上, Native Vlan的帧收发都不带tag,其他所有Vlan的帧收发都带上该Vlan的tag。

    Access接口数据转发

    向Access链路转发数据帧时,不带tag。

    当Access接口收到带tag的帧,如果是PVID的报文则接收,否则直接丢弃该帧。

    当Access接口收到带tag的帧且是PVID的报文,如果交换机上存在该Vlan,则在该Vlan中转发该帧;否则丢弃该帧。

    简单地说, Access接口只收发本Vlan的帧。

    Trunk接口数据转发

    向Trunk链路转发数据帧时,该接口的Native Vlan不带tag,其他所有Vlan都带上相应的tag。

    当Trunk接口收到带tag的帧,若该接口允许该Vlan通过,及交换机上存在该Vlan,则在该Vlan中转发该帧;否则直接丢弃该帧。

    当Trunk接口收到不带tag的帧,若该接口允许Native Vlan通过,及该交换机上存在该Vlan,则在该接口的Native Vlan中转发该帧;否则直接丢弃该帧。

    简单说,Trunk接口只收发本接口允许VLAN列表的数据帧,本接口的Native Vlan不带tag,其他所有Vlan都带tag。

    不同vlan间通信

    vlan间通信需要三层交换机,因为三层交换机本身有路由功能,所以不用其它路由就可以实现vlan间的通信。

    其实不同VLAN之间相互通信的两种方式,单臂路由、三层交换机,它们分别如何配置,哪一种好呢?

    单臂路由的实现方式,其实就是普通二层交换机加路由器,从而实现不同vlan间的可以互相通信。

    1. 通过单臂路由实现不同VLAN之间的通信:

    单臂路由组网是由普通交换机与路由器组成,所以我们在配置时,要配置交换机与路由。

    1、 交换机SW3的具体配置(主要配置vlan和trunk接口)

    第一步:在SW3上创建vlan100、vlan200、vlan300,名称依次为caiwu、xiaoshou、gongcheng。(创建vlan既可以在vlandatabase中,也可以在全局模式下配置,本实验是在vlan database中配置的)。

    第二步:在全局模式下

    将f0/1 – 5号端口划分到vlan 100中

    f0/6– 10口划分到vlan 200中

    f0/11 – 15号端口划分到vlan 300中

    并全部配置成access模式

    第三步:使用show vlan显示SW3的vlan配置信息,可以看出配置正确)

    第四步:交换机如果通过路由器实现VLAN之间的通信,需要将连接交换机的端口配置成trunk模式,只有trunk线路才能使vlan通过。

    2、 路由器R2的具体配置(通过配置路由器子接口封装之后作为每一个vlan的网关)

    第一步:在路由器(R2)与交换机(SW3)的端口上配置子接口,每个子接口的IP地址是每个VLAN的网关地址(也可以理解为下一跳地址),并在子接口上封装802.1Q协议(交换机通用封装模式,用命令encapsulation dot1q 封装),如下所示:

    第二步:将PC5和PC6分别连接到交换机SW3的f0/6和f0/1上,然后配置PC5的IP地址为192.168.2.1/24,网关为192.168.2.254。PC6的IP地址为192.168.1.1,网关为192.168.1.254。然后用PC5 ping PC6,看是否能ping通。

    pc5与pc6处于不同的vlan,如上所示,他们已能够互通,所以不同vlan间已实现互通。

    2. 通过三层交换路由功能实现不同VLAN之间的通信:

    网络拓扑:

     

    一、【实验目的】

    1、同一VLAN里的计算机系统能跨交换机相互通信。

    2、不同VLAN里的计算机系统也可以相互通信。

    3、各vlan信息如下:

    vlan10: 192.168.10.1/24

    vlan20: 192.168.20.1/24

    vlan30: 192.168.30.1/24

    4、各pc ip地址及网关如下:

    pc机 ip地址 网关

    pc1 192.168.10.2/24 192.168.10.1

    pc2 192.168.20.2/24 192.168.20.1

    pc3 192.168.10.3/24 192.168.10.1

    pc4 192.168.20.3/24 192.168.20.1

    pc5 192.168.30.2/24 192.168.30.1

    pc6 192.168.20.4/24 192.168.20.1

    pc7 192.168.30.3/24 192.168.30.1

    二、【配置步骤】

    1、交换机s0的配置如下:

    Switch> en //进入特权模式
    Switch#conf t //进入配置模式
    Switch(config)#vlan 10 //创建vlan10
    Switch(config-vlan)#vlan 20 //创建vlan20
    Enter configuration commands, one perline. End with CNTL/Z.
    Switch(config)#int fa0/2 //进入端口0/2
    Switch(config-if)#switchport access vlan 10 //把端口 0/2划分给vlan10
    Switch(config-if)#exit //退出 端口0/2
    Switch(config)#int fa0/3 //进入端口0/3
    Switch(config-if)#switchport access vlan 20 //把端口0/3划分给vlan20
    Switch(config-if)#exit //退出端口0/3
    Switch(config)#int fa0/1 //进入端口0/1
    Switch(config-if)#switchport mode trunk //端口模式为trunk
    Switch(config-if)#

    小结:把交换机S0的下面的端口各pc分配各自的vlan,然后把fa0/1口设为trunk,因为交换机之间设置了trunk接口,使得不同vlan之间能够通过其他的交换机!

    2、交换机s1的配置如下:

    Switch>en
    Switch#conf t
    Enter configuration commands, one perline. End with CNTL/Z.
    Switch(config)#vlan 10
    Switch(config-vlan)#exit
    Switch(config)#vlan 20
    Switch(config-vlan)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#int f0/2
    Switch(config-if)#switchport access vlan 10
    Switch(config-if)#exit
    Switch(config)#int f0/3
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int f0/4
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit
    Switch(config)#int f0/1
    Switch(config-if)#switchport mode trunk //端口模式为trunk

    交换机s1的配置如s0的基本差不多,代码都一样。

    3、交换机s2的配置如下:

    Switch>en
    Switch#conf t
    Enter configuration commands, one perline. End with CNTL/Z.
    Switch(config)#vlan 20
    Switch(config-vlan)#vlan 30
    Switch(config-vlan)#exit
    Switch(config)#int fa0/2
    Switch(config-if)#switchport access vlan 20
    Switch(config-if)#exit
    Switch(config)#int fa0/3
    Switch(config-if)#switchport access vlan 30
    Switch(config-if)#exit
    Switch(config)#int fa0/1
    Switch(config-if)#switchport mode trunk

    交换机s2的配置如s0、s1的基础差不多,把相应的端口划分到相应的vlan中,没有出现什么新代码。

    4、三层交换机3560的配置如下:

    Switch>en //进入特权模式
    Switch#conf t //进入配置模式
    Switch(config)#vlan 10 //创建vlan10
    Switch(config-vlan)#vlan 20 //创建vlan20
    Switch(config-vlan)#vlan 30 //创建vlan10
    Switch(config-vlan)#exit //返回上一级
    Switch(config)#int vlan 10 //进入vlan10
    Switch(config-if)#ip address 192.168.10.1 255.255.255.0 //给vlan 10添加ip地址及子网掩码
    Switch(config-if)#no shutdown //开启端口
    Switch(config-if)#exit //退回 上一极
    Switch(config)#int vlan 20 //进入vlan20
    Switch(config-if)#ip address 192.168.20.1 255.255.255.0 //给vlan 20添加ip地址及子网掩码
    Switch(config-if)#no shutdown //开启端口
    Switch(config-if)#exit //退回上一级
    Switch(config)#int vlan 30 //进入vlan30
    Switch(config-if)#ip address 192.168.30.1 255.255.255.0 //给vlan 20添加ip地址及子网掩码
    Switch(config-if)#no shutdown //开启端口
    Switch(config-if)#exit //返回上一级
    Switch(config)#int range fa0/2-4 //进入2-4端口
    Switch(config-if-range)#switchport mode trunk //端口模式为trunk
    Switch#show ip route //显示ip路由

    那么这样就配置完成了。

    三、总结

    从试验过程中可以看出实现不同VLAN之间的两种方式,一个是通过单臂路由实现,另一个是通过三层交换的路由功能实现的,可以说不同VLAN之间的通信必须通过路由功能才能实现通信。

    其次,不同网段之间都需要配置下一跳地址(网关)才能通信。那么什么时候用单臂路由,什么时候选择三层交换呢。单臂路由是不具有扩展性的,为什么这么说呢,如果VLAN的数量不断增加,流经路由器与交换机之间链路的流量也变得非常大,这时,这条链路也就成为了整个网络的瓶颈,即使你网络的带宽再快,也是如此。

    因此,当网络不断增大,划分的VLAN不断增多的时候,就需要配置三层交换机的路由功能,实现不同VLAN之间的通信(三层交换机的数据表的吞吐量通常为数百万pps,而传统路由器的吞吐量只有10kpps~1Mpps,其次三层交换机是通过硬件来交换和路由选择数据包的,吞吐量当然大了,甚至接近于线速。而路由器只是通过虚拟子接口来交换和路由选择数据包的,不是硬件实施的,吞吐量也就变的小了。

    总之一句话:三层交换技术在第三层实现了数据包的高速转发,从而解决了传统路由器低速、负责所造成的网络瓶颈问题。

    小型办公网组网

    出口防火墙、核心交换机命令行下登录及WEB页面登录方式。

    方法一:

    使用Console口登录

    USB转Console调试线接入登陆设备,在命令行配置或者使用命令配置WEB登录设备。

    方法二:

    使用SSH方式登录

    可使用CTR/xshell等方式进行登录。

    方法三:

    使用WEB方式登录

    在浏览器中使用用户名/密码方式以http或https方式登录。

    配置SSH方式

    [H3C]ssh server enable
    [H3C]public-key local create dsa
    [H3C-line-vty4]line vty 0 4
    [H3C-line-vty0-4]authentication-mode scheme
    [H3C]local-user admin
    [H3C-luser-manage-admin]password simple admin
    [H3C-luser-manage-admin]service-type ssh
    [H3C-luser-manage-admin]authorization-attribute user-role network-admin
    

    配置web认证用户

    #进入系统视图
    <H3C>system-view
    #创建本地用户admin,并设置登录密码为admin,服务类型为http跟https,用户级别为network-admin管理员级别
    [H3C] local-user admin
    [H3C-luser-manage-admin] password simple admin
    [H3C-luser-manage-admin] service-type http https
    [H3C-luser-manage-admin] authorization-attribute user-role network-admin
    [H3C-luser-manage-admin] quit
    #配置交换机的管理地址:
    [H3C] interface vlan-interface 30
    [H3C-VLAN-interface1] ip address 172.29.1.2 255.255.255.253
    [H3C-VLAN-interface1] quit
    #开启http跟https服务
    [H3C]ip http enable
    [H3C]ip https enable
    #保存配置
    [H3C]save force
     
    

    此时打开浏览器,地址栏输入交换机的管理地址即可登录WEB界面。也可以使用https://172.29.1.2 这样的https的方式登录WEB进行管理。

    在“WEB用户登录”对话框中输入用户名、密码及验证码,点击<登录>按钮后即可登录,显示WEB初始页面。成功登录后,用户可以在配置区对设备进行相关配置。

    H3C配置命令介绍

    命令

    说明

    reset saved-configuration

    恢复出厂设置,默认用户视图<H3C>,不要保存配置,第二个选 N。reboot生效 

    save force

    保存配置,保存配置可用

    quit

    推出

    CTRL+C

    终止当前操作

    CTRL+Z

    退回到用户视图

    undo  xxxxxxxxx

    删除 xxxxxxxxx操作配置

    system-view 

    切换到系统配置视图[H3C]

    display current-configuration

    显示当前所有系统配置信息

    vlan XXX

    创建vlan  XXX  (  1<XXX<4095)

    interface vlan XXX

    进入vlan XXX接口

    ip address 192.168.0.1 24

    进入vlan XXX后,为该vlan创建地址 

    interface GE1/0/1

    进入GE1/0/1端口配置

    port access vlan XXX

    将接口GE1/0/1划分到vlan XXX,access类型

    interface GE1/0/2

    进入GE1/0/2端口配置

    port link-type trunk

    配置GE1/0/2端口为trunk 模式

    port trunk permit vlan XXX

    配置该trunk只运行vlan XXX数据通过

    display ip routing-table

    查看路由表

    ip route-static 网络地址 掩码 下一跳地址

    增加一条路由规则,默认优先级60,数字越小优先级越高

    中大型办公网组网

    从系统的完整性、安全性、高效性等几个方面来分析:
    某企业总公司在广州,分公司设在深圳。

    总部有六个部门如下:管理、财务、后勤、销售、研发、生产,分公司主要负责开拓新市场。

    项目要求:

    (1)为保证内网运行性能,每一个部门单独一个VLAN,进行合理规划IP地址;
    (2)为各设备做基础配置,完成路由配置,实现内外网的基本连通;
    (3)为了保证网络的可用性和可靠性,对核心层设备配置冗余技术,起到热备及负载均衡作用。
    (4)配置出口策略路由,使得不同内网流量分别通过联通、电信两条ISP线路访问Internet,从而起到负载均衡的作用;
    (5)由于公网IP地址有限,尽可能节约IP地址的损耗。
    (6)总公司有多个部门,要求财务部不允许其他部门访问,其他部门都可以互相访问,各部门都允许访问互联网。(具体内容自己规划)。
    (7)总公司拥有自己的WEB,内外网均可访问;
      (8) 实现公司总部与分公司通信。
      (9) 保证内网安全,监视内网资源与访问走向,限制内网用户的网络资源访问权限,并采用防火墙设备来保证外网到内网间的安全。

     1、 防火墙FW1的配置

    基本配置
    interface GigabitEthernet1/0/1
    undo shutdown
    ip address 192.168.10.7 255.255.255.0
    gateway 192.168.10.1
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/2
    undo shutdown
    ip address 192.168.20.7 255.255.255.0
    gateway 192.168.20.1
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/3
    undo shutdown
    ip address 192.168.90.7 255.255.255.0
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/4
    undo shutdown
    ip address 10.93.93.7 255.255.255.0
    gateway 10.93.93.2
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    
    配置VPN接口
    interface Tunnel1
    ip address 192.168.93.1 255.255.255.0
    tunnel-protocol gre
    source 10.93.93.7
    destination 3.3.3.93
    gre key cipher 123
    
    添加端口
    firewall zone trust
    add interface GigabitEthernet1/0/1
    add interface GigabitEthernet1/0/2
    add interface Tunnel1
    firewall zone untrust
    add interface GigabitEthernet1/0/4
    firewall zone dmz
    add interface GigabitEthernet1/0/3
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.10.0 0.0.0.255
    network 192.168.20.0 0.0.0.255
    network 192.168.90.0 0.0.0.255
    
    配置静态路由
    ip route-static 0.0.0.0 0.0.0.0 10.93.93.2
    ip route-static 192.168.100.0 255.255.255.0 Tunnel1
    ip route-static 192.168.110.0 255.255.255.0 Tunnel1
    
    配置静态pat
    nat server web_server protocol tcp global 10.93.93.7 8000 inside 192.168.90.93 www
    nat server ftp_server protocol tcp global 10.93.93.7 2100 inside 192.168.90.93 ftp
    配置自定义防火墙域间策略
    security-policy
    rule name local_to_dmz
    source-zone dmz
    source-zone local
    destination-zone dmz
    destination-zone local
    action permit
    rule name local_to_trust
    source-zone local
    source-zone trust
    destination-zone local
    destination-zone trust
    action permit
    rule name local_to_untrust
    source-zone local
    source-zone untrust
    destination-zone local
    destination-zone untrust
    action permit
    rule name trust_to_dmz
    source-zone dmz
    source-zone trust
    destination-zone dmz
    destination-zone trust
    action permit
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    rule name untrust_to_dmz
    source-zone dmz
    source-zone untrust
    destination-zone dmz
    destination-zone untrust
    action permit
    rule name untrust_to_trust
    source-zone untrust
    destination-zone trust
    service gre
    action permit
    
    配置动态nat
    nat-policy
    rule name trust_to_untrust_nat
    source-zone trust
    egress-interface GigabitEthernet1/0/4
    source-address 192.168.10.0 mask 255.255.255.0
    source-address 192.168.20.0 mask 255.255.255.0
    source-address 192.168.30.0 mask 255.255.255.0
    source-address 192.168.40.0 mask 255.255.255.0
    source-address 192.168.50.0 mask 255.255.255.0
    source-address 192.168.60.0 mask 255.255.255.0
    source-address 192.168.70.0 mask 255.255.255.0
    source-address 192.168.80.0 mask 255.255.255.0
    action source-nat easy-ip

    2、防火墙fw2配置

    基本配置
    interface GigabitEthernet1/0/1
    undo shutdown
    ip address 3.3.3.93 255.255.255.0
    gateway 3.3.3.254
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/2
    undo shutdown
    ip address 192.168.100.93 255.255.255.0
    gateway 192.168.100.4
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    
    配置VPN接口
    interface Tunnel1
    ip address 192.168.93.2 255.255.255.0
    tunnel-protocol gre
    source 3.3.3.93
    destination 10.93.93.7
    gre key cipher 123
    
    添加端口
    firewall zone trust
    add interface GigabitEthernet1/0/2
    add interface Tunnel1
    firewall zone untrust
    add interface GigabitEthernet1/0/1
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.100.0 0.0.0.255
    
    配置静态路由
    ip route-static 0.0.0.0 0.0.0.0 3.3.3.254
    ip route-static 192.168.10.0 255.255.255.0 Tunnel1
    ip route-static 192.168.20.0 255.255.255.0 Tunnel1
    ip route-static 192.168.30.0 255.255.255.0 Tunnel1
    ip route-static 192.168.40.0 255.255.255.0 Tunnel1
    ip route-static 192.168.50.0 255.255.255.0 Tunnel1
    ip route-static 192.168.60.0 255.255.255.0 Tunnel1
    ip route-static 192.168.70.0 255.255.255.0 Tunnel1
    ip route-static 192.168.80.0 255.255.255.0 Tunnel1
    
    配置自定义防火墙域间策略
    security-policy
    rule name trust_to_local
    source-zone trust
    destination-zone local
    action permit
    rule name local_to_trust
    source-zone local
    destination-zone trust
    action permit
    rule name trust_to_dmz
    source-zone dmz
    source-zone trust
    destination-zone dmz
    destination-zone trust
    action permit
    rule name local_to_untrust
    source-zone local
    source-zone untrust
    destination-zone local
    destination-zone untrust
    action permit
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    rule name untrust_to_truse
    source-zone untrust
    destination-zone trust
    service gre
    action permit
    配置动态nat
    nat-policy
    rule name trust_to_untrust_nat
    source-zone trust
    egress-interface GigabitEthernet1/0/1
    source-address 192.168.100.0 mask 255.255.255.0
    source-address 192.168.110.0 mask 255.255.255.0
    action source-nat easy-ip

    3、核心交换机LSW1基本配置

    sysname LSW1
    undo info-center enable
    vlan batch 30 40 50 60 70 80 1000
    配置MSTP
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration
    
    stp instance 1 root primary
    stp instance 2 root secondary
    stp pathcost-standard legacy
    
    配置acl
    acl number 2001
    rule 5 deny source 192.168.40.0 0.0.0.255
    rule 10 deny source 192.168.50.0 0.0.0.255
    rule 15 deny source 192.168.60.0 0.0.0.255
    rule 20 deny source 192.168.70.0 0.0.0.255
    rule 25 deny source 192.168.80.0 0.0.0.255
    
    配置vlan,vrrp,链路聚合,端口
    interface Vlanif30
    ip address 192.168.30.1 255.255.255.0
    vrrp vrid 30 virtual-ip 192.168.30.254
    vrrp vrid 30 priority 150
    vrrp vrid 30 track interface GigabitEthernet0/0/1
    vrrp vrid 30 track interface GigabitEthernet0/0/3
    interface Vlanif40
    ip address 192.168.40.1 255.255.255.0
    vrrp vrid 40 virtual-ip 192.168.40.254
    vrrp vrid 40 priority 150
    vrrp vrid 40 track interface GigabitEthernet0/0/4
    vrrp vrid 40 track interface GigabitEthernet0/0/1
    interface Vlanif50
    ip address 192.168.50.1 255.255.255.0
    vrrp vrid 50 virtual-ip 192.168.50.254
    vrrp vrid 50 priority 150
    vrrp vrid 50 track interface GigabitEthernet0/0/5
    vrrp vrid 50 track interface GigabitEthernet0/0/1
    interface Vlanif60
    ip address 192.168.60.1 255.255.255.0
    vrrp vrid 60 virtual-ip 192.168.60.254
    interface Vlanif70
    ip address 192.168.70.1 255.255.255.0
    vrrp vrid 70 virtual-ip 192.168.70.254
    interface Vlanif80
    ip address 192.168.80.1 255.255.255.0
    vrrp vrid 80 virtual-ip 192.168.80.254
    interface Vlanif1000
    ip address 192.168.10.1 255.255.255.0
    
    interface Eth-Trunk1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/2
    eth-trunk 1
    interface GigabitEthernet0/0/3
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    traffic-filter outbound acl 2001
    interface GigabitEthernet0/0/4
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/5
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/6
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/7
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/8
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/24
    eth-trunk 1
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.10.0 0.0.0.255
    network 192.168.30.0 0.0.0.255
    network 192.168.40.0 0.0.0.255
    network 192.168.50.0 0.0.0.255
    network 192.168.60.0 0.0.0.255
    network 192.168.70.0 0.0.0.255
    network 192.168.80.0 0.0.0.255
    
    ip route-static 0.0.0.0 0.0.0.0 192.168.10.7

    4 、核心交换机LSW2基本配置

    sysname LSW2
    undo info-center enable
    vlan batch 30 40 50 60 70 80 1000
    配置MSTP
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration
    
    stp instance 1 root secondary
    stp instance 2 root primary
    stp pathcost-standard legacy
    
    配置acl
    acl number 2001
    rule 5 deny source 192.168.40.0 0.0.0.255
    rule 10 deny source 192.168.50.0 0.0.0.255
    rule 15 deny source 192.168.60.0 0.0.0.255
    rule 20 deny source 192.168.70.0 0.0.0.255
    rule 25 deny source 192.168.80.0 0.0.0.255
    
    配置vlan,vrrp,链路聚合,端口
    interface Vlanif30
    ip address 192.168.30.2 255.255.255.0
    vrrp vrid 30 virtual-ip 192.168.30.254
    interface Vlanif40
    ip address 192.168.40.2 255.255.255.0
    vrrp vrid 40 virtual-ip 192.168.40.254
    interface Vlanif50
    ip address 192.168.50.2 255.255.255.0
    vrrp vrid 50 virtual-ip 192.168.50.254
    interface Vlanif60
    ip address 192.168.60.2 255.255.255.0
    vrrp vrid 60 virtual-ip 192.168.60.254
    vrrp vrid 60 priority 150
    vrrp vrid 60 track interface GigabitEthernet0/0/1
    vrrp vrid 60 track interface GigabitEthernet0/0/6
    interface Vlanif70
    ip address 192.168.70.2 255.255.255.0
    vrrp vrid 70 virtual-ip 192.168.70.254
    vrrp vrid 70 priority 150
    vrrp vrid 70 track interface GigabitEthernet0/0/1
    vrrp vrid 70 track interface GigabitEthernet0/0/7
    interface Vlanif80
    ip address 192.168.80.2 255.255.255.0
    vrrp vrid 80 virtual-ip 192.168.80.254
    vrrp vrid 80 priority 150
    vrrp vrid 80 track interface GigabitEthernet0/0/1
    vrrp vrid 80 track interface GigabitEthernet0/0/8
    interface Vlanif1000
    ip address 192.168.20.1 255.255.255.0
    
    interface Eth-Trunk1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/2
    eth-trunk 1
    interface GigabitEthernet0/0/3
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    traffic-filter outbound acl 2001
    interface GigabitEthernet0/0/4
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/5
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/6
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/7
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/8
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/24
    eth-trunk 1
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.20.0 0.0.0.255
    network 192.168.30.0 0.0.0.255
    network 192.168.40.0 0.0.0.255
    network 192.168.50.0 0.0.0.255
    network 192.168.60.0 0.0.0.255
    network 192.168.70.0 0.0.0.255
    network 192.168.80.0 0.0.0.255
    
    ip route-static 0.0.0.0 0.0.0.0 192.168.20.7

    5、接入层交换机lsw3基本配置(lsw4~8类似)

    vlan batch 30
    
    配置mstp
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration
    
    stp pathcost-standard legacy
    
    配置接口
    interface Ethernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface Ethernet0/0/2
    port link-type trunk
    stp instance 2 cost 20000
    interface Ethernet0/0/3
    port link-type access
    port default vlan 30
    stp edged-port enable
    interface Ethernet0/0/4
    port link-type access
    port default vlan 30
    stp edged-port enable

    6 、路由器AR1基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 10.93.93.2 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 2.2.2.2 255.255.255.0
    interface GigabitEthernet0/0/2
    ip address 1.1.1.2 255.255.255.0
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 1.1.1.0 0.0.0.255
    network 2.2.2.0 0.0.0.255
    network 10.93.93.0 0.0.0.255
    
    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 2.2.2.254
    

    7、 路由器AR2基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 3.3.3.254 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 2.2.2.254 255.255.255.0
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 3.3.3.0 0.0.0.255
    
    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 2.2.2.2
    

    8 、路由器AR3基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 192.168.100.4 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 192.168.110.4 255.255.255.0
    
    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.100.0 0.0.0.255
    network 192.168.110.0 0.0.0.255
    
    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 192.168.100.93

    内网访问内网测试

    其他部门不能访问财务部,其他部门可以相互访问。以财务部(VLAN30)和销售部(VLAN40)、生产部(VLAN60)为例,如图

     销售部ping生产部

     销售部无法ping通财务部

    冗余技术测试

    实现总公司内网访问外网时,正常情况下WLAN30-50走交换机LSW1,WLAN60-80走交换机LSW2,当设备出现故障时,切换到备用设备正常访问,以财务部(WLAN30)和生产部(WLAN60)测试
    设备正常情况下财务部到外网的走向如图

    财务部到外网的走向图
    关闭核心交换机LSW1 g0/0/1口,追踪财务部走向

    设备故障时追踪财务部走向
    设备正常情况下生产部到外网的走向如图

    追踪生产部到外网的走向
    关闭核心交换机LS4g0/0/5口,追踪财务部走向

    设备故障时追踪生产部走向

    网络问题排查及建议

    问题1:内部网络间可通,但是不能访问外部网络

    建议:

    1)查看FW设备接外网口是否正常

    2)FW上路由是否正常

    3)核心交换机上路由是否正常

    问题2:出口防火墙可以访问外部网络,但是内部主机不能访问外部网络

    建议:

    1)查看出口防火墙连接核心交换机接口是否正常

    2)核心交换机上接口配置是否正确

    3)核心交换机路由是否正常

    4)查看接口交换机接口是否正常,运行是否正常,配置是否正常

    网络维护建议

    1. 配置文件的备份与保存

    1)配置文件备份可在配置丢失的情况下快读备份,减少网络恢复的时间

    2)配置文件保存可保证在断电或设备异常重启后,设备恢复后可正常工作

    2. 系统及操作日志

    有问题时可通过设备操作及系统日志进行排查

    3. 网络设备定期检查

    可查看机房及网络设备温度是否过高,是否存在异常等

    4. 组网拓扑

    查看组网信息,可排查是否为配置存在问题,或者线路是否存在问题

    展开全文
  • 通过课程设计,使学生理论联系实际,在实践进一步了解计算机网络体系结构,深入理解TCP/IP参考模型,掌握各种网络工程技术和网络规划与设计,初步掌握高速局域网技术、广域网接入技术、网络互联技术,初步掌握网络...
  • 公司网络设计方案,含需求分析、设计标准规范原则、拓扑结构、具体方案设计等现在,许多单位由于办公和科研的需要,购买了不少计算机。并且一些单位的领导开始意识到组建办公局域网的现实性和必要性。为了各单位的...
  • 本资源详细给出了中小型企业需求,对需求进行了详细的分析,并对作出了设计方案并进行配置与实现。
  • 实现企业网络解决方案(有线+无线)方式,如今当下已经成为互联网化的时代,企业要跟上时代发展,一个运行良好的企业网络是必须的。对于多数中小企业来说,并没有足够的资源投入到网络建设中,往往都是能用就够了。但...

    实现企业网络解决方案(有线+无线)方式,如今当下已经成为互联网化的时代,企业要跟上时代发展,一个运行良好的企业网络是必须的。对于多数中小企业来说,并没有足够的资源投入到网络建设中,往往都是能用就够了。但这样的网络环境长期下来影响工作效率,会使得企业逐渐丧失竞争力。据炫亿调查来看,中小企业办公组网主要有这些问题。
    在这里插入图片描述
    1,使用家用路由器组网

    很多公司创业初期都是随便买个家用路由器组网,随着公司的发展,人数业务增多,不能满足企业使用。

    2,网速慢、无线信号时好时坏

    很多企业的网络没有经过专门的规划,各个地方处理都不完善,网络性能不足且没有进行防干扰措施,所以会有网速慢和信号不好的问题。

    3,员工上网行为没有进行管理
    在这里插入图片描述

    很多企业在组网完毕后,没有对员工上网行为进行管理和限制。于是会发现,多少兆的带宽都不够用,因为只要有一个人在下载视频,那么就会极大的占用带宽,影响公司网络。

    针对这些问题,零遁给中小企业定制了一套组网方案,下面就来看看吧。

    1,针对中小企业办公组网需求,零遁使用自主组网技术+零遁云专线的形式对办公区实现全无线覆盖,进行统一管理、配置并实时监P状态。

    2.所有组网设备采用POE供电,满足消防及布线需求;

    3.对办公网络采用MAC地址认证,加强安全性;

    4,在办公区内实行无线漫游,移动办公自动切换接入点,网络不断线。

    5,设置多个ssid,将内部员工和访客隔开,区分权限,相互隔离。

    在这里插入图片描述

    本无线组网方案的特点:

    1,易管理性:统一由无线控制器AC管理,自动发现并统一管理,可实时查P运行状态,方便网络管理和运维。

    2,高可用性:采用专业天线,发射功率线性可调,可根据实际环境,合理调整发射功率,满足不同区域的覆盖需求。

    3,便于部署:为精美的海浪式外形,美观大方,支持802.3af/at标准PoE网线供电,既可吸顶式安装,又可壁挂式安装,因地制宜,使用灵活。

    4,高扩展性:支持MAC认证、Portal认证等多种用户接入认证方式,可结合外置portal服务器和认证服务器实现短信认证,微信认证等多种认证方式。

    5,灵活漫游:无线部署架构,可设置不同AP发射相同的SSID,无线终端在同一VLAN下的不同之间移动时,可以在不同AP之间快速切换,实现跨AP二层快速漫游。

    展开全文
  • 针对中小企业网络规划解决方案模板。 目 录:  一、项目概述  二、需求概述  三、网络需求  1.布线结构需求  2.网络设备需求  3.IP地址规划  四、系统需求  1.系统要求  2.网络和应用服务  五、存储备份...
  • 我国中小企业拥有60%的国民经济产值,为社会提供70%以上的就业机会,但是许多中小企业的信息化程度还很低,本文就向中小企业介绍几种实用的企业信息化方案
  • 1.VLAN划分 2.ospf路由 3.pat 4.gre vpn 5.hsrp 等
  • 主要为大家介绍了中小企业通用的信息化解决方案做一些探讨,于中小企业来说,组网的方式、网络的结构、网络设备可能千差万别,但是最重要的是根据企业的实际需求,确定网络的应用和功能
  • 中小型局域网组网方案的设计和规划的实训pkt文件,三台路由器,两台三层交换机做核心,并做负载。并且有三台二层交换机,分别连接VLAN10,VLAN20和服务器。实现不同网络互联,R1和R2之间做PPP认证,在R3上做NAPT私有...
  • 中小企业需求挑战 高性能高安全 满足需求稳定可靠 低成本投资保护 面临挑战 方案设计 网络拓朴设计 IP编址及VLAN划分 设计方案设备选型 ? 网络拓朴设计 ? IP地址及VLAN划分 切合企业实际的IP及VLAN规划将使网络的...
  • 考核类型:选择题(5~7)所占分值:3分考点一:网络总体设计基本方法1.网络工程建设总体目标与设计原则2.网络结构与拓扑构型设计方法3.核心层网络结构设计整个网络系统的主干部分是核心层网络,它是设计与建设的重点。...
  • 要 计算机网络自从?20?世纪?60?年代未诞生以来仅在几十年间的时间里即以异常迅猛 的速度发展起来被越来越广泛地应用于政治经济军事生产及科学技术的各个领域 在当今社会及未来谁更快获得信息资源谁就能更有效的使用...
  • 2.1 组网技术选择 5 2.1.1 网络设备选型 5 2.1.2不间断电源(UPS) 6 2.1.3 服务器平台选择 6 2.1.4 此校园网设计方案特点如下: 7 2.1.5布线系统设计 7 2.2 规划设计拓扑图 8 第三章 服务器的配置 10 3.1 Windows...
  • 某大企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网...
  • 小贝 For 中小企业 小贝 For 连锁商贸 小贝 For 商贸分支 小贝酒店 安全设备 典型组网 分销NGFW下一代防火墙 WiNet 典型组网 WiNet 智慧网络解决方案 SOHO 典型组网 无管理型交换机典型组网应用 一 监控(1) ...
  • 也就是我们要对这个网络进行需求分析,从30台计算机的规模来看,用在小企业和办公环境比较适合,我们这里以办公为例。在一般的办公环境 下,组网主要是为了方便内部传输资料和访问互联网络,带宽要求不高,完全...
  • 企业组建局域网可行性分析主流组网技术的分析与比较组网方案网络设备的选定
  • 中小型企业网络配置

    万次阅读 多人点赞 2021-03-19 21:30:22
    中小型企业网络配置 提示:如有错误。欢迎支出 文章目录中小型企业网络配置一、需求分析二、拓扑图与ip规划三、实现1、 防火墙FW1的配置2、防火墙fw2配置3、 核心交换机LSW1基本配置4 、核心交换机LSW2基本配置5、...
  • 文件包含了千人网络设计的topo图及其完整的配置,和一些单个技术的配置,比如RIP实验,NAT地址转换和访问控制列表ACL等单个实验的拓扑及配置
  • 企业组网案例模拟1、实验要求2、实验拓扑3、实验需求4、配置思路4.1 总部配置4.2 分部配置4.3 配置总部和分部互联4.4 网络优化 1、实验要求 假如你是某公司网管员,要为总部和分部规划网络。左边蓝色区域为总公司...
  • Cisco Packet Tracer26个实例企业组网详解(思科模拟器)
  • 基于Cisco Packet Tracer的中小型网吧组网设计方案

    千次阅读 多人点赞 2020-07-15 13:51:19
    同时,由于网络供应的普及率升高,消费者可以随时随地的使用各种移动设备得到丰富的网络服务功能,由于个人的网络移动设备和个人电脑的普及,使得消费者对网吧的需求变少,传统的网吧已经无法满足消费者的需求,暴露...
  • 属于一个小型公司内网组网架构实训案例,使用了OSPF技术;ACL技术;NAT技术,局域网覆盖有限的地理范围,适用于公司、校园等有限范围内的计算机、终端与各类信息设备连网的需求。一般属于一个单位所有,组建方便、...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 5,809
精华内容 2,323
关键字:

中小型企业网络组网方案