精华内容
下载资源
问答
  • 这些资料均为互联网收集的,是当时在做网络工程课程设计的时候查找到的,这些资料质量都还不错,对于网络设计有一定的参考价值,可以下载看看。(如果有侵权请联系删除)
  • 2.1.4 此校园网设计方案特点如下: 7 2.1.5布线系统设计 7 2.2 规划设计拓扑图 8 第三章 服务器的配置 10 3.1 Windows2000server服务器的安装 10 3.2 Win2000 server的配置 10 3.3 DNS服务器 10 3.4. DNS的维护 12 ...
  • (1)考虑来宾客户的需求,特设来宾无线VLAN,但要考虑企业内网数据流通的优先级,因此对来宾无线业务的传输流量进行限速,并考虑限制来宾之间的互访,避免私人信息遭到他人窃取,但并不影响来宾正常上网。...
  • 2.3 主干带宽的考虑 9 2.4 客户机的带宽分析 10 2.5网络三层结构设计 12 2.5.1核心交换机设备选型 13 2.5.2接入层交换机备选型 14 2.5.3 路由器设备选型 15 2.5.4无线路由器设备选型 16 第3章网络设备配置清单 17 ...
  • 4 企业网络详细设计 3 4.1 设计思路 3 4.2 设计步骤 4 4.2.1 按照拓扑图要求连接好设备 4 4.2.2 IP地址VLAN规划 4 4.2.3 配置内网DHCP服务器 5 4.2.4 核心层交换机配置 5 4.2.5 汇聚层交换机配置 6 4.2.6 配置VLAN...
  • 1.1总体架构设计 1.2网络结构设计 1.3防火墙设计 1.4服务器系统 1.4.1用户需求分析 1.4.2操作需求分析 1.4.3开放的体系结构 1.4.4其他需要考虑的问题 2.1总体架构设计 2.2网络结构设计 2.2.1主干部分设计 ...
  • 教程名称:华为 华三中小型企业网络架构搭建       课程目录: 【】【1.基础架构】 【】【2.无线架构部署】 【】【3.防火墙安全部署】 【】【4.统一设备管理】 【】【5....
  • 宣城职业技术学院毕业设计论文 中小企业网中Linux网络服务器配置与管理 杨晓静 班 级 09计算机网络2班 专 业 计算机网络技术 教 学 系 信息工程系 指导老师 焦小平 刘训星 完成时间 2011 年 9 月 30 日至 2011 年 11...
  • 中小型企业网络配置

    千次阅读 多人点赞 2021-03-19 21:30:22
    @ 中小型企业网络配置 提示:如有错误。欢迎支出 文章目录中小型企业网络配置一、需求分析二、拓扑图ip规划三、实现1、 防火墙FW1的配置2、防火墙fw2配置3、 核心...本次论文设计为实现中小型企业的网络规划

    @

    中小型企业网络配置

    提示:如有错误。欢迎支出


    一、需求分析

    本次论文设计为实现中小型企业的网络规划与实施,可以从系统的完整性、安全性、高效性等几个方面来分析:
    某企业总公司在广州,分公司设在深圳。总部有六个部门如下:管理、财务、后勤、销售、研发、生产。分公司主要负责开拓新市场。
    项目要求:
    (1)为保证内网运行性能,每一个部门单独一个VLAN,进行合理规划IP地址;
    (2)为各设备做基础配置,完成路由配置,实现内外网的基本连通;
    (3)为了保证网络的可用性和可靠性,对核心层设备配置冗余技术,起到热备及负载均衡作用。
    (4)配置出口策略路由,使得不同内网流量分别通过联通、电信两条ISP线路访问Internet,从而起到负载均衡的作用;
    (5)由于公网IP地址有限,尽可能节约IP地址的损耗。
    (6)总公司有多个部门,要求财务部不允许其他部门访问,其他部门都可以互相访问,各部门都允许访问互联网。(具体内容自己规划)。
    (7)总公司拥有自己的WEB,内外网均可访问;
    (8) 实现公司总部与分公司通信。
    (9) 保证内网安全,监视内网资源与访问走向,限制内网用户的网络资源访问权限,并采用防火墙设备来保证外网到内网间的安全。

    二、拓扑图与ip规划

    ## 1.引入库
    在这里插入图片描述

    三、实现

    1、 防火墙FW1的配置

    基本配置
    interface GigabitEthernet1/0/1
    undo shutdown
    ip address 192.168.10.7 255.255.255.0
    gateway 192.168.10.1
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/2
    undo shutdown
    ip address 192.168.20.7 255.255.255.0
    gateway 192.168.20.1
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/3
    undo shutdown
    ip address 192.168.90.7 255.255.255.0
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/4
    undo shutdown
    ip address 10.93.93.7 255.255.255.0
    gateway 10.93.93.2
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit

    配置VPN接口
    interface Tunnel1
    ip address 192.168.93.1 255.255.255.0
    tunnel-protocol gre
    source 10.93.93.7
    destination 3.3.3.93
    gre key cipher 123

    添加端口
    firewall zone trust
    add interface GigabitEthernet1/0/1
    add interface GigabitEthernet1/0/2
    add interface Tunnel1
    firewall zone untrust
    add interface GigabitEthernet1/0/4
    firewall zone dmz
    add interface GigabitEthernet1/0/3

    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.10.0 0.0.0.255
    network 192.168.20.0 0.0.0.255
    network 192.168.90.0 0.0.0.255

    配置静态路由
    ip route-static 0.0.0.0 0.0.0.0 10.93.93.2
    ip route-static 192.168.100.0 255.255.255.0 Tunnel1
    ip route-static 192.168.110.0 255.255.255.0 Tunnel1

    配置静态pat
    nat server web_server protocol tcp global 10.93.93.7 8000 inside 192.168.90.93 www
    nat server ftp_server protocol tcp global 10.93.93.7 2100 inside 192.168.90.93 ftp
    配置自定义防火墙域间策略
    security-policy
    rule name local_to_dmz
    source-zone dmz
    source-zone local
    destination-zone dmz
    destination-zone local
    action permit
    rule name local_to_trust
    source-zone local
    source-zone trust
    destination-zone local
    destination-zone trust
    action permit
    rule name local_to_untrust
    source-zone local
    source-zone untrust
    destination-zone local
    destination-zone untrust
    action permit
    rule name trust_to_dmz
    source-zone dmz
    source-zone trust
    destination-zone dmz
    destination-zone trust
    action permit
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    rule name untrust_to_dmz
    source-zone dmz
    source-zone untrust
    destination-zone dmz
    destination-zone untrust
    action permit
    rule name untrust_to_trust
    source-zone untrust
    destination-zone trust
    service gre
    action permit

    配置动态nat
    nat-policy
    rule name trust_to_untrust_nat
    source-zone trust
    egress-interface GigabitEthernet1/0/4
    source-address 192.168.10.0 mask 255.255.255.0
    source-address 192.168.20.0 mask 255.255.255.0
    source-address 192.168.30.0 mask 255.255.255.0
    source-address 192.168.40.0 mask 255.255.255.0
    source-address 192.168.50.0 mask 255.255.255.0
    source-address 192.168.60.0 mask 255.255.255.0
    source-address 192.168.70.0 mask 255.255.255.0
    source-address 192.168.80.0 mask 255.255.255.0
    action source-nat easy-ip

    2、防火墙fw2配置

    基本配置
    interface GigabitEthernet1/0/1
    undo shutdown
    ip address 3.3.3.93 255.255.255.0
    gateway 3.3.3.254
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit
    interface GigabitEthernet1/0/2
    undo shutdown
    ip address 192.168.100.93 255.255.255.0
    gateway 192.168.100.4
    service-manage http permit
    service-manage https permit
    service-manage ping permit
    service-manage ssh permit
    service-manage snmp permit
    service-manage telnet permit

    配置VPN接口
    interface Tunnel1
    ip address 192.168.93.2 255.255.255.0
    tunnel-protocol gre
    source 3.3.3.93
    destination 10.93.93.7
    gre key cipher 123

    添加端口
    firewall zone trust
    add interface GigabitEthernet1/0/2
    add interface Tunnel1
    firewall zone untrust
    add interface GigabitEthernet1/0/1

    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.100.0 0.0.0.255

    配置静态路由
    ip route-static 0.0.0.0 0.0.0.0 3.3.3.254
    ip route-static 192.168.10.0 255.255.255.0 Tunnel1
    ip route-static 192.168.20.0 255.255.255.0 Tunnel1
    ip route-static 192.168.30.0 255.255.255.0 Tunnel1
    ip route-static 192.168.40.0 255.255.255.0 Tunnel1
    ip route-static 192.168.50.0 255.255.255.0 Tunnel1
    ip route-static 192.168.60.0 255.255.255.0 Tunnel1
    ip route-static 192.168.70.0 255.255.255.0 Tunnel1
    ip route-static 192.168.80.0 255.255.255.0 Tunnel1

    配置自定义防火墙域间策略
    security-policy
    rule name trust_to_local
    source-zone trust
    destination-zone local
    action permit
    rule name local_to_trust
    source-zone local
    destination-zone trust
    action permit
    rule name trust_to_dmz
    source-zone dmz
    source-zone trust
    destination-zone dmz
    destination-zone trust
    action permit
    rule name local_to_untrust
    source-zone local
    source-zone untrust
    destination-zone local
    destination-zone untrust
    action permit
    rule name trust_to_untrust
    source-zone trust
    destination-zone untrust
    action permit
    rule name untrust_to_truse
    source-zone untrust
    destination-zone trust
    service gre
    action permit
    配置动态nat
    nat-policy
    rule name trust_to_untrust_nat
    source-zone trust
    egress-interface GigabitEthernet1/0/1
    source-address 192.168.100.0 mask 255.255.255.0
    source-address 192.168.110.0 mask 255.255.255.0
    action source-nat easy-ip

    3、 核心交换机LSW1基本配置

    sysname LSW1
    undo info-center enable
    vlan batch 30 40 50 60 70 80 1000
    配置MSTP
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration

    stp instance 1 root primary
    stp instance 2 root secondary
    stp pathcost-standard legacy

    配置acl
    acl number 2001
    rule 5 deny source 192.168.40.0 0.0.0.255
    rule 10 deny source 192.168.50.0 0.0.0.255
    rule 15 deny source 192.168.60.0 0.0.0.255
    rule 20 deny source 192.168.70.0 0.0.0.255
    rule 25 deny source 192.168.80.0 0.0.0.255

    配置vlan,vrrp,链路聚合,端口
    interface Vlanif30
    ip address 192.168.30.1 255.255.255.0
    vrrp vrid 30 virtual-ip 192.168.30.254
    vrrp vrid 30 priority 150
    vrrp vrid 30 track interface GigabitEthernet0/0/1
    vrrp vrid 30 track interface GigabitEthernet0/0/3
    interface Vlanif40
    ip address 192.168.40.1 255.255.255.0
    vrrp vrid 40 virtual-ip 192.168.40.254
    vrrp vrid 40 priority 150
    vrrp vrid 40 track interface GigabitEthernet0/0/4
    vrrp vrid 40 track interface GigabitEthernet0/0/1
    interface Vlanif50
    ip address 192.168.50.1 255.255.255.0
    vrrp vrid 50 virtual-ip 192.168.50.254
    vrrp vrid 50 priority 150
    vrrp vrid 50 track interface GigabitEthernet0/0/5
    vrrp vrid 50 track interface GigabitEthernet0/0/1
    interface Vlanif60
    ip address 192.168.60.1 255.255.255.0
    vrrp vrid 60 virtual-ip 192.168.60.254
    interface Vlanif70
    ip address 192.168.70.1 255.255.255.0
    vrrp vrid 70 virtual-ip 192.168.70.254
    interface Vlanif80
    ip address 192.168.80.1 255.255.255.0
    vrrp vrid 80 virtual-ip 192.168.80.254
    interface Vlanif1000
    ip address 192.168.10.1 255.255.255.0

    interface Eth-Trunk1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/2
    eth-trunk 1
    interface GigabitEthernet0/0/3
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    traffic-filter outbound acl 2001
    interface GigabitEthernet0/0/4
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/5
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/6
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/7
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/8
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/24
    eth-trunk 1

    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.10.0 0.0.0.255
    network 192.168.30.0 0.0.0.255
    network 192.168.40.0 0.0.0.255
    network 192.168.50.0 0.0.0.255
    network 192.168.60.0 0.0.0.255
    network 192.168.70.0 0.0.0.255
    network 192.168.80.0 0.0.0.255

    ip route-static 0.0.0.0 0.0.0.0 192.168.10.7

    4 、核心交换机LSW2基本配置

    sysname LSW2
    undo info-center enable
    vlan batch 30 40 50 60 70 80 1000
    配置MSTP
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration

    stp instance 1 root secondary
    stp instance 2 root primary
    stp pathcost-standard legacy

    配置acl
    acl number 2001
    rule 5 deny source 192.168.40.0 0.0.0.255
    rule 10 deny source 192.168.50.0 0.0.0.255
    rule 15 deny source 192.168.60.0 0.0.0.255
    rule 20 deny source 192.168.70.0 0.0.0.255
    rule 25 deny source 192.168.80.0 0.0.0.255

    配置vlan,vrrp,链路聚合,端口
    interface Vlanif30
    ip address 192.168.30.2 255.255.255.0
    vrrp vrid 30 virtual-ip 192.168.30.254
    interface Vlanif40
    ip address 192.168.40.2 255.255.255.0
    vrrp vrid 40 virtual-ip 192.168.40.254
    interface Vlanif50
    ip address 192.168.50.2 255.255.255.0
    vrrp vrid 50 virtual-ip 192.168.50.254
    interface Vlanif60
    ip address 192.168.60.2 255.255.255.0
    vrrp vrid 60 virtual-ip 192.168.60.254
    vrrp vrid 60 priority 150
    vrrp vrid 60 track interface GigabitEthernet0/0/1
    vrrp vrid 60 track interface GigabitEthernet0/0/6
    interface Vlanif70
    ip address 192.168.70.2 255.255.255.0
    vrrp vrid 70 virtual-ip 192.168.70.254
    vrrp vrid 70 priority 150
    vrrp vrid 70 track interface GigabitEthernet0/0/1
    vrrp vrid 70 track interface GigabitEthernet0/0/7
    interface Vlanif80
    ip address 192.168.80.2 255.255.255.0
    vrrp vrid 80 virtual-ip 192.168.80.254
    vrrp vrid 80 priority 150
    vrrp vrid 80 track interface GigabitEthernet0/0/1
    vrrp vrid 80 track interface GigabitEthernet0/0/8
    interface Vlanif1000
    ip address 192.168.20.1 255.255.255.0

    interface Eth-Trunk1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/2
    eth-trunk 1
    interface GigabitEthernet0/0/3
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    traffic-filter outbound acl 2001
    interface GigabitEthernet0/0/4
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/5
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/6
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/7
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/8
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface GigabitEthernet0/0/24
    eth-trunk 1

    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.20.0 0.0.0.255
    network 192.168.30.0 0.0.0.255
    network 192.168.40.0 0.0.0.255
    network 192.168.50.0 0.0.0.255
    network 192.168.60.0 0.0.0.255
    network 192.168.70.0 0.0.0.255
    network 192.168.80.0 0.0.0.255

    ip route-static 0.0.0.0 0.0.0.0 192.168.20.7

    5、接入层交换机lsw3基本配置(lsw4~8类似)

    vlan batch 30

    配置mstp
    stp region-configuration
    region-name HUAWEI
    instance 1 vlan 30 to 50
    instance 2 vlan 60 to 80
    active region-configuration

    stp pathcost-standard legacy

    配置接口
    interface Ethernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 2 to 4094
    interface Ethernet0/0/2
    port link-type trunk
    stp instance 2 cost 20000
    interface Ethernet0/0/3
    port link-type access
    port default vlan 30
    stp edged-port enable
    interface Ethernet0/0/4
    port link-type access
    port default vlan 30
    stp edged-port enable

    6 、路由器AR1基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 10.93.93.2 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 2.2.2.2 255.255.255.0
    interface GigabitEthernet0/0/2
    ip address 1.1.1.2 255.255.255.0

    配置ospf
    ospf 1
    area 0.0.0.0
    network 1.1.1.0 0.0.0.255
    network 2.2.2.0 0.0.0.255
    network 10.93.93.0 0.0.0.255

    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 2.2.2.254

    7、 路由器AR2基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 3.3.3.254 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 2.2.2.254 255.255.255.0

    配置ospf
    ospf 1
    area 0.0.0.0
    network 3.3.3.0 0.0.0.255

    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 2.2.2.2

    8 、路由器AR3基本配置

    配置ip
    interface GigabitEthernet0/0/0
    ip address 192.168.100.4 255.255.255.0
    interface GigabitEthernet0/0/1
    ip address 192.168.110.4 255.255.255.0

    配置ospf
    ospf 1
    area 0.0.0.0
    network 192.168.100.0 0.0.0.255
    network 192.168.110.0 0.0.0.255

    静态路由配置
    ip route-static 0.0.0.0 0.0.0.0 192.168.100.93

    四、测试

    1 、内网访问内网测试

    其他部门不能访问财务部,其他部门可以相互访问。以财务部(VLAN30)和销售部(VLAN40)、生产部(VLAN60)为例,如图
    在这里插入图片描述

    图5-1 销售部ping生产部
    在这里插入图片描述

    图5-2 销售部无法ping通财务部

    2 、冗余技术测试

    实现总公司内网访问外网时,正常情况下WLAN30-50走交换机LSW1,WLAN60-80走交换机LSW2,当设备出现故障时,切换到备用设备正常访问,以财务部(WLAN30)和生产部(WLAN60)测试
    设备正常情况下财务部到外网的走向如图
    在这里插入图片描述

    图5-3 财务部到外网的走向图
    关闭核心交换机LSW1 g0/0/1口,追踪财务部走向,如图5-5
    在这里插入图片描述

    图5-4 设备故障时追踪财务部走向
    设备正常情况下生产部到外网的走向如图
    在这里插入图片描述

    图5-5 追踪生产部到外网的走向
    关闭核心交换机LS4g0/0/5口,追踪财务部走向,如图5-8
    在这里插入图片描述

    图5-6 设备故障时追踪生产部走向

    3 、内外网访问服务器

    实现校园内网均能访问防火墙DMZ区域中的服务器,这里以生产部为例
    在这里插入图片描述

    图5-7 财务部访问WEB服务器
    实现公司外网能够通过公网IP地址访问到服务器。
    在这里插入图片描述

    图5-8 外网访问WEB
    5.3 内网访问外网,nat
    以销售部(WLAN40)去访问外网时如图5-12,在防火墙上查看状态会话表,可发现地址转换为了端口g1/0/4的IP地址如图5-13:
    在这里插入图片描述

    图5-9 销售部访问外网
    在这里插入图片描述

    图5-10在防火墙中查看状态会话表

    4、 总部与分公司相互访问

    以管理部(WLAN10)和销售部(WLAN40)测试如图5-16和5-17
    在这里插入图片描述

    图5-11 总公司ping分部
    在这里插入图片描述

    图5-12 在防火墙中查看状态会话表
    在这里插入图片描述

    图5-13分部ping总部
    在这里插入图片描述

    图5-14 在防火墙中查看状态会话表

    展开全文
  • 文章中小型企业网络建设-Cisco Packet Tracer v7.0思科网络模拟器实验练习(https://blog.csdn.net/weixin_39329758/article/details/90709777) 相对应,下载对应Cisco Packet Tracer v7.0软件,在软件中打开“...
  • 设计技术: IPv4的地址规划和子网划分; 二层交换机的VLAN 划分及配置、STP配置; 三层交换机的VLAN 划分及配置、STP配置、端口聚合配置、ACL配置; 路由器的基本配置、动态路由配置、ACL配置、DHCP配置、NAT配置
  • 这些资料均为互联网收集的,是当时在做网络工程课程设计的时候查找到的,这些资料质量都还不错,对于网络设计有一定的参考价值,可以下载看看。(如果有侵权请联系删除)
  • 某大企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网...

    某大中型企业。有多个部门,财务部、人事部、销售部、工程部。同部门之间采用二层交换网络相连;不同部门之间采用VLAN路由方式互访。

    企业有一台内部web服务器,承载着内部网站,方便员工了解公司的即时信息。局域网路由器启用多种路由协议(静态路由、动态路由协议),并实施路由控制、负载均衡、访问限制等功能。

    企业有一条专线接到运营商用以连接互联网,由于从运营商只获取到一个公网IP地址,所以企业员工访问互联网需要做NAT网络地址转换。

    85fbf608-c415-eb11-8da9-e4434bdf6706.png

    需求分析:

    一、基础配置按照拓扑搭建网络:

    1、为R1/Internet/Core1/ Core2/SW1/SW2/SW3/SW4命名。

    2、在Core1/ Core1上设置特权密文密码123456。

    3、配置R1 Core1/ Core1/Internet互联接口。

    4、配置PC1-PC8的IP地址,采用DHCP自动获取方式配置。

    财务部:PC1、PC3;172.16.1.0 172.16.1.254 vlan10

    人事部:PC2、PC6;172.16.2.0 172.16.2.254 vlan20

    销售部:PC4、PC8;172.16.3.0 172.16.3.254 vlan30

    工程部:PC5、PC7;172.16.4.0 172.16.4.254 vlan40

    5、IP地址规划,本次规划地址:

    自己规划内网的IP地址,但必须用私网IP,可用IP外围如下:

    IP:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16

    R1与Internet之间用:200.1.1.0/24

    PC9:200.200.200.200/24 GW:200.200.200.254/24

    二、交换部分

    1、Core1/ Core2/SW1/SW2/SW3/SW4的连接接口封装为Trunk。

    2、在Core1/ Core2/SW1/SW2/SW3/SW4配置VTP, 域名为Cisco。Core1作为Server;其他交换机作为Client,设置密码。

    3、按规划好的VLAN并创建这几个VLAN,分别给销售部VLAN命名为sales;人事部VLAN命名为hr;财务部VLAN命名为cw;工程部VLAN命名为gcb。并把相应的接口划分到所属vlan中。

    4、Core1/ Core2连接接口做Etherchannel捆绑(聚合)。要求使用Cisco PAGP协议中的主动协商模式。

    5、在Core1上启用DHCP服务, 并建立对应VLAN(根据规划的VLAN及IP地址)的地址池,为财务部、人事部、销售部、工程部电脑提供DHCP服务。其中DNS:202.103.224.68,其他默认配置。

    三、路由部分

    1、在R1上配置默认路由,出口指向运营商。

    2、在Internet路由器上也配置默认路由。

    3、[OSPF]在R1/ Core1/ Core2上配置单区域(area 0)OSPF,使得全网互通[R1与运营商Internet互联的接口不宣告]。

    4、在Core1/ Core2配置HSRP路由冗余功能,使得财务部、人事部数据流量默认走Core1;销售部、工程部数据流量走Core2。

    路由部分必须每完成一步检查现象!

    四、安全部分

    1、在Core1上做ACL访问限制: 除PC5以外,其他用户都可以ping通web server服务器;内网用户都可以访问企业网站(web server服务器),但内部服务器web server不能访问外网。

    2、在SW1/SW3上启用端口安全功能,配置接入PC的端口,允许最大两个不同的MAC地址通过,如果违规,则SW1采用限制(Restrict)模式;SW3采用禁用(shutdown)模式。

    五、广域网部分

    1、在R1上配置PAT,使得企业内部所有PC都能访问互联网(ping通运营商的200.200.200.200),至此:内网PC全部互联,都可以访问内部网站。

    2、在R1上配置静态NAT,把web服务器映射到公网IP:200.1.1.3,使得PC9能够访问到企业的网站。

    实施:

    NAT的地址转换:

    89fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网能访问内网的服务器网站:

    8afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1与服务器连通性:

    90fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC1访问内部服务器:

    94fbf608-c415-eb11-8da9-e4434bdf6706.png

    内网通信:

    98fbf608-c415-eb11-8da9-e4434bdf6706.png

    与外网通信:

    9afbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5访问不到服务器:

    9dfbf608-c415-eb11-8da9-e4434bdf6706.png

    PC5与外网连通性:

    a2fbf608-c415-eb11-8da9-e4434bdf6706.png

    服务器不能访问外网:

    a4fbf608-c415-eb11-8da9-e4434bdf6706.png

    外网与内网的通信:

    a7fbf608-c415-eb11-8da9-e4434bdf6706.png

    NAT静态地址转换:

    aefbf608-c415-eb11-8da9-e4434bdf6706.png

    OSPF路由:

    b3fbf608-c415-eb11-8da9-e4434bdf6706.png

    DHCP配置:

    b8fbf608-c415-eb11-8da9-e4434bdf6706.png

    HSRP配置:

    bbfbf608-c415-eb11-8da9-e4434bdf6706.png

    路由和ACL配置:

    bcfbf608-c415-eb11-8da9-e4434bdf6706.png

    VTP配置:

    c1fbf608-c415-eb11-8da9-e4434bdf6706.png

    端口安全配置:

    c3fbf608-c415-eb11-8da9-e4434bdf6706.png
    c5fbf608-c415-eb11-8da9-e4434bdf6706.png

    PC自动获取IP地址:

    c7fbf608-c415-eb11-8da9-e4434bdf6706.png

    案例:办公楼的网络建设架构方案(含监控规划)

    办公楼的网络系统设计,既有有线网络系统,也有无线覆盖系统。

    并且安防系统的网络系统有时候会单独设计,有时候和计算机网络系统共用局域网。

    今天的案例重点介绍计算机网络和视频监控组网方式与选择。

    cbfbf608-c415-eb11-8da9-e4434bdf6706.png

    某办公楼拟建总建筑面积约7500㎡;建筑类型为高层建筑,地上1-6层。

    1

    计算机网络系统建设架构

    计算机网络系统主要是大楼内部各部门的网络应用以及为大楼的管理和各种应用搭建一个灵活应用,安全可靠的硬件平台。

    将大楼的网络按部门分为若干个逻辑网段,将大楼的各种PC机、工作站、终端设备和局域网连接起来,并与广域网相连,形成结构合理、内外沟通的计算机网络系统。

    并在此基础上建立能满足商务、办公自动化和管理需要的软硬件环境,开发各类信息库和应用系统,为大楼内的工作人员、访客提供充分、便捷的网络信息服务。

    cffbf608-c415-eb11-8da9-e4434bdf6706.png

    2

    数据交换网络建设架构

    计算机网络系统分内部办公网、外网。

    各个网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、核心层等二层,建立网络主干千兆,百兆到桌面的网络应用。

    1) 物理网络描述

    根据大楼业务网运营数据的特点,内部办公网、外网相互之间逻辑隔离。

    中心网络采用多链路100M光纤链路INTERNET接入,以大容量高速骨干交换为网络核心,千兆光纤下行至各楼层小机房的全千兆接入二层交换,以及采用无线交换机对整个无线网路进行统一的管理。

    终端采用无线或有线方式实现用户网络接入,确保楼内网络的灵活性和可扩展性。同时在网络边界防火墙出开出独立DMZ区域,作为中心核心数据管理存储中心,对内外提供不同服务。

    依托物理平台,充分考虑当前各类应用以及网络数据的传输质量,采用虚拟局域网技术依据不同应用方向划分独立子网,有效地防止广播风暴及各类安全隐患在网络中的蔓延,确保各子网数据独立高效运行。

    2) 内网描述

    内部办公网面向中心内部用户,主要用于承载中心内部各类应用,如:OA、多媒体、 网络管理等无须上INTERNET的业务。

    子网内部通过部署防火墙,审计,行为管理等安全产品实现内部用户对于各类应用数据访问的可控可管,确保中心日常办公应用及本地数据交换的高效性,具体部署根据实际需求利用VLAN等多种技术手段实现管理和区分。

    OA办公系统应用于内部信息系统,为全中心提供完善的办公自动化服务,实现无纸化办公,提高工作效率。

    功能包括收发文管理、办公管理、信息采编、公共信息管理、个人事务管理、内部邮件、即时通讯、信息检索等模块等。

    全面实现全局无纸化网上办公,实现的功能包括行政办公,公共信息。

    3) 外网描述

    办公外网主要为:中心数据、物流查询功能的Internet接入服务、远程资源共享、信息流转、系统远程视频会议等,为各类中心内部及流动用户提供全面高效的数据访问和交互平台。

    d0fbf608-c415-eb11-8da9-e4434bdf6706.png

    3

    视频监控网络建设架构

    视频监控网络作为数据网络的子网,前端接入层独立于数据网络之外,采用汇聚层专注用于监控数据传输,最后汇入核心层。

    网络拓扑为星型结构,采用分层设计,层次网络架构包括:接入层、汇聚层、核心层等三层,建立网络主干千兆,百兆到终端的网络应用。

    1) 终端信号采集

    采用终端网络摄像机进行视频信号采集,采集数据为数字信号,无须在终端部署视频服务器等转换设备,降低投入成本。

    且通过网络摄像机可以实现和其他安防监控系统实现联动,进一步提高产品利用率,使应用更高效。且网络摄像机基于IP架构,所有监控设备均通过IP链路连接,管理方便。

    2) 监控数据传输

    终端通过部署基于IP的网络摄像机,将视频信号直接以数字形式通过IP链路最终在监控核心交换处汇聚。

    考虑到数据传输质量和实时性要求高,因此在核心交换位置采用大容量高速骨干交换对数据进行分发交换。

    3) 监控数据存储

    所有监控终端监控视频数据将通过IP链路汇聚后集中,采用IP-SAN模式实现高速实时存储,同属部署大容量存储阵列对规定时间段内所有监控数据进行存储备份,已备后续查询。

    4) 实时监控及管理

    在核心交换处旁路模式部署监控管理服务器,自动扫描发现所有监控中所有设备,并形成对应拓扑,并利用监控管理服务器对监控终端进行维护及数据采集和传输的控制。

    同时采用千兆光链路将数据传输至安保监控中心,通过电视墙实时显示。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    4

    数据交换网络建设部署

    1) 核心交换部署

    终端节点约500个,部署千兆核心交换机,设置在2层信息中心主机房网络设备柜。

    采用2台支持3层交换路由功能高性能的核心交换机做双中心冗余,所有的接入层交换机采用2条千兆光纤链路连到2台核心交换机上,保证链路的冗余。服务器群通过2条千兆链路以冗余的方式连接到2台核心交换机。

    采用VLAN划分策略对楼内网络终端、不同部门的终端、视频会议应用、智能化各子系统等划分VLAN;同一部门可以跨楼层进行相互访问,不同的部门间未经允许不能进行访问,不同VLAN间的通信通过核心交换机实现。负责内网络的转发。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    各核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置24/48口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    3) 无线接入部署

    部署百兆无线接入交换机,设置在1层信息中心机房,支持千兆上行端口,实现无线AP可控可管。无线AP与无线控制器无线交换机配合组网(Fit AP),便于集中管理。

    使用无线网络部分覆盖,填补网络盲区,在有效覆盖范围内自由登录而不受时空的限制,本项目在各楼层公共区域设置无线路由器,实现办公区域全覆盖。

    各无线路由器接入外网网络。配置高性能百兆无线局域网接入设备,无线AP上行接口采用百兆以太网接口接入,无线路由器支持802.11abgn,双频单模,集成天线,支持工作在2.4Ghz与5.8Ghz频段,能提供20M/40M信道技术。

    d4fbf608-c415-eb11-8da9-e4434bdf6706.png

    视频监控局域网:

    1) 汇聚交换部署

    终端节点约60个,部署千兆核心交换机,设置在1层信息中心主机房网络设备柜。采用1台支持3层交换路由功能高性能的汇聚交换机。服务器群通过1条千兆链路连接到核心交换机。

    采用模块化核心交换机,核心交换机具有1Tbps以上的背板交换容量,支持3层交换的路由功能,实现高性能的核心转发,支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能,保证了网络核心的高稳定性和可扩展性。

    核心交换机配置2个电源,实现电源冗余备份;配置千兆的光口/电口板卡,负责前端视频终端、服务器群、网络管理、网络安全系统、链路热备及负载均衡网络的接入。

    2) 楼层接入部署

    部署百兆接入交换机,设置在各楼层小机房网络设备柜和保安监控室的网络设备柜,负责接入各终端计算机、无线AP等。

    各接入交换机采用可网管二层交换机,支持端口聚合、VLAN、STP、SNMP等特性;配置8/16口10M/100M电口,2个千兆光口,实现10M/100M到桌面,千兆上行到核心交换机。

    5

    服务器及存储部署

    内网网络设置2台业务信息化数据库服务器 (一主一备),采用X86机型,设置2个光纤网卡作为存储端口;其他服务器根据应用需求具体另行配置。

    针对业务信息化数据设置2套光纤磁盘阵列,同时部署数据镜像系统,保持2套阵列数据的同步性。光纤磁盘阵列采用FC-SAN网络,配置2台8口SAN交换机(考虑冗余),连接前端档案信息化数据库服务器。

    考虑到公司信息化相关数据的重要性和实时性,对业务信息化数据库服务器部署在线容灾备份系统。通过在服务器上部署数据库在线容灾备份软件,对应用系统所依赖的重要数据实时的备份到存储设备上。

    内网另配置智能卡服务器、OA服务器和FTP服务器等服务器群;外网配置网络边缘WEB服务器、防病毒服务器和邮件服务器等;监控网配置视频存储服务器等。

    d3fbf608-c415-eb11-8da9-e4434bdf6706.png

    6

    网络安全部署

    考虑到整个网络后续的运行稳定性和数据安全性,将在中心网络中部署防火墙,入侵防御、防毒墙等安全产品,以有效的对进出网络以及DMZ区域数据访问进行有效的控制管理和授权。

    1) 网络管理系统部署

    内、外、监控网分别部署网络管理平台,及时地发现问题、跟踪定位和阻止泛滥,为网络操作人员提供监控和阻止网络攻击所必需的信息。

    实现各网络运行情况告警并产生报表;集中管理网络设备、服务器及安全设备;自动产生全网设备的网络拓扑;显示流量;具有图形化配置方式。

    d8fbf608-c415-eb11-8da9-e4434bdf6706.png

    2) 防火墙系统部署

    在网络接入边界处,部署千兆高性能防火墙作为安全边界,对进出外网的数据进行有效的过滤和防护。

    防火墙要求支持至少2个左右千兆电口,同时至少2个千兆光口,要求设备支持bypass功能,防治单点故障造成网络中断。

    设备接入模式要求支持路由模式、透明模式、NAT模式、混杂模式等多种模式,要求支持基于域、接口、Alias别名等信息建立安全策略,能够基于文件大小,内容,url实现对HTTP服务的控制和过滤,同时要求支持邮件过滤,支持贝叶斯过滤方式,支持自主学习,能实现RBL实时黑名单地址管理。

    能够对各类应用进行有效过滤和控制,如游戏,聊天,下载等。

    3) 防病毒系统部署

    在互联网接入区部署1台防毒墙系统,支持500的用户数。实现互联网访问网络时的安全策略,对外网的web、mail、ftp、qq、msn等多种形式的病毒查杀,支持脱壳技术。

    外网配置1套支持500用户的网络版防病毒软件。

    4) 入侵防御系统部署

    在互联网接入区部署1台入侵防御系统,入侵防御系统从3个方面进行有效防御及保障:

    主动防护:对网络蠕虫、木马、黑客攻击以及网络病毒等恶意流量的传播进行主动防护,保护用户网络资源;

    系统漏洞遮断:为网络中的主机提供有效的系统漏洞防护方案,弥补由于补丁不能及时更新而造成的系统脆弱性;

    应用访问控制:有效控制IM、P2P、VoIP等敏感应用对网络带宽的滥用;

    关键业务系统保障:通过智能的安全防御,最大限度降低各种恶意行为对关键业务服务及设备的威胁。

    大厦网络建设方案

    01

    建设原则

    网络系统建设遵循统一规划、分步实施的指导思想,工程的设计必须在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和长期需要。

    设计及实施充分遵循以下原则:

    1、分层原则

    整个网络采用层次化结构分为:核心层、接入层,将整个网络功能细化到各层,实现方便管理和规范网络结构。

    2、网络技术先进性和实用性

    网建设采用的交换和传输技术,具有一定的前瞻性,符合一定时期内网络通信技术发展的趋势,并在今后一定的时期内处于主流地位。

    3、采用标准化、开放的网络技术

    整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。

    开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。

    网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,保证系统运行的安全可靠,并具有较长的使用生命周期,以适应其业务不断发展的需要,有效地保护用户投资的长期效益。

    4、网络高可靠性原则

    由于企业的业务发展语音、视频会议、OA、ERP系统等应用对网络的稳定可靠运行要求特别高,对数据传输的实时性的要求也很高。

    因而要求,一方面选用的网络设备具有相当高的可靠性,另一方面,在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施,以保障网络的高可靠性和安全性。

    5、网络可扩充性

    随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;

    随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。

    能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。

    6、安全性和保密性

    在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离。

    因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。

    要有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d 、802.1w 等。

    另外,未来保护系统内部的网络安全性,整网设备支持ACL功能,将病毒包及非法包都限制在二层设备上,避免向上层网络扩散,保护网络整体的安全性设计。

    7. 网络实现的高性价格比原则

    在满足基本需求的条件下,如网络的可靠性、安全性、性能和一定的可扩展性等,尽可能降低网投资改造的费用。

    网络技术和设备的选择以满足需要为原则,不一味追求高档次设备。

    8、网络的可管理性

    建议网络系统中的所有设备均应是可管理的,支持远程监控和故障的过程诊断和恢复,并可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。

    02

    建设目标

    网络建设目标是:建设一个支持数字化、网络化、自动化的先进的基础网络平台,满足内部信息共享、0A 系统的需要,也满足企业信息化建设的长期要求。

    网络平台具有良好的服务质量、较高安全性、便于管理和维护,能够支持企业的各种办公和科研应用,信息发布。

    骨干速率采用1000M速率。

    网络关键节点建议使用能够冗余热备保障系统连续稳定运行。

    具有高带宽、高可靠、高性能、高安全的特性。

    03

    组网结构

    基于以上要求分析,大厦网络解决方案总体设计以高性价比、高安全性、良好的可扩展性、可管理性和统一的网管为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。

    我们提出采用如下拓扑结构方式进行网络建设:

    dbfbf608-c415-eb11-8da9-e4434bdf6706.png

    具体网络详细情况描述

    机房分布:在1 层、2 层、3 层、5 层、8 层、10 层、13 层各设置弱电配电间,在1层设置大楼总机房。

    无线 AP 接入点分布:1 层 X 个点、3-14 层每层个 X 个点。

    楼层信息点汇聚情况:

    1 层、1、3 层墙插、电话到各层层配电间,4-5 层到 5 层配电间。

    6-8 层墙插、电话到8 层配电间。

    9-11 层墙插、电话到10 层配电间。

    12-14 层墙插、电话到14 层配电间。

    如上图所示,采用层次化结构设计原则,分为核心层、接入层。

    本局域网组网模型将网络结构分为核心层和接入层:

    核心层 :核心层要承担各业务应用服务器与底下接入交换机的千兆连接,所以要配置一台高性能多业务交换机,要具备分布式业务处理体系结构,实现业务的 全分布式处理,并能提供稳定、可靠、安全的高性能L2/L3 层交换服务,以及电信级、自适应的可靠性设计。

    接入层 :接入层交换机要可以提供48 端口或者24 端口,并能通过千兆链路连接到核心交换机,可以使用堆叠的方式扩展端口密度,同时能支持ARP防控,以及多业务的融合能力,对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。

    路由器部分 :采用 H3C 的 MSR66002X1 新一代路由器将内网与外网分离,基本保护了内网的安全。

    并能实现内部网络与广域网互联支持静态路由、RIP、OSPF 等常见路由协议,支持NAT 功能。

    无线 AP:未知产品

    IP 地址规划

    defbf608-c415-eb11-8da9-e4434bdf6706.png
    e0fbf608-c415-eb11-8da9-e4434bdf6706.png

    04

    方案特点

    1、对内部各个不同的楼层,根据不同的业务,划分不同的虚拟网VLAN,一来保证数据系统的安全,阻截无权限用户对关键数据系统的访问。

    另一方面,通过VLAN的划分,缩小每种业务的广播域,减小因数据的过度广播造成对带宽资源的浪费,保 证网络系统的资源有效的利用于必须的业务,提高业务处理能力,提高办公效率。

    2、通过合理的 DHCP IP地址分配,保证系统具有良好的结构化和合理的可扩展性。

    对于每个部门分配相应的IP地址段,并预留足够的扩展空间,从而在一些部门用户 数量急剧增加时,不因地址空间不够用而造成地址管理的混乱,影响系统的正常运行。

    3、本网络方案支持多种ACL访问控制策略,在整个网络系统划分不同虚拟网络的同时,在不同的网络间配置合理的路由和访问控制策略ACL,能够对用户访问网络资源的权限进行设置,保证网络的受控访问。

    使路由表项不重复、不遗漏,以使数据在 合理的方向传递,保证路由资源的高效利用。

    4、提供联通专线、二级运营商两项网络接入,双网互备,方便移动用户接入 internet。

    05

    配置步骤

    1、创建 VLAN 10-140 [Switch]vlan 10

    2、将 E1/0/2口加入 VLAN10

    [Switch-vlan2]port Ethernet1/0/2

    3、进入 VLAN 接口 10 [Switch-vlan10]int vlan 10

    4、为 VLAN10配置 IP 地址

    [Switch-vlan10-interface10]ip address 166.111.1.1 255.255.255.0

    5、全局时能DHCP功能

    [Switch]dhcp enable

    6、创建 DHCP地址池

    [Switch]dhcp server ip-pool h3c

    7、配置动态分配的IP 地址范围、有效期、网关地址、DNS地址 [Switch-dhcp -pool-h3c]network 166.111.1.0 mask 255.255.255.0 [Switch-dhcp -pool-h3c] expired day 3

    [Switch-dhcp -pool-h3c]gateway-list 166.11.1.1 [Switch-dhcp -pool-h3c]dns-list 202.106.0.20

    8、配置某个地址为不可分配地址

    [Switch]dhcp server forbidden-ip 166.11.1.1

    9、指定 VLAN10虚接口工作在全局地址池模式下

    [Switch]dhcp select global interface vlan-interface 10

    VLAN20 VLAN30相应的楼层配置如同上述命令

    10、开启远程 Telnet 功能

    user-interface aux 0

    user-interface vty 0 4

    user privilege level 3

    set authentication password simple h3c

    银行网络建设方案

    本次分享的银行网络模型参考了国内外同行业的组网模型,按照标准化、模块化、结构的原则对生产中心进行升级,将生产中心过于扁平化、安全性低的现状改变,所以可以将生产中心规划成:

    核心交换区、生产服务器区、前置机区、网银区、运行管理区、楼层接入区、办公服务器区、广域网接入区、灾备中心互联区、中间业务外联区等功能模块。

    在各分区边界部署防火墙,确保访问的安全,实现生产中心的高性能、高安全、高扩展和易管理。

    • 核心交换区:为生产网络的各功能子区提供核心路由交换。
    • 生产核心区:部署天津商行生产服务和生产小机。
    • 前置机服务器区:连接各种业务前置机专用区域
    • 楼层接入区(迁移):负责本地办公用户的接入。
    • 网银区(迁移):部署网上银行业务的服务器。
    • DWDM 区:连接生产中心和灾备中心的广域传输系统区域。
    • 广域网接入区:部署下联各省市分行、天津各区县支行、分理处的骨干网路由器。
    • 中间业务外联区: 通过专线连接监管单位、合作伙伴,为第三方机构提供外联服务。
    • 运行维护区:部署网络和系统管理及维护的业务系统。

    01

    设计概述

    1 东丽数据中心整体结构

    东丽数据中心主要需要建立IP网络和存储网络。在IP网络中,按业务功能和安全需要分 为不同的网络区域,各个网络区域有独立的网络设备(如交换机、防火墙等) 连接相应的主机、服务器、 pc机等设备, 每个网络区域的汇聚/ 接入交换机再连接到IP网的核心交换机上;每个网络区域内部可以根据需要再分为不同的控制区域。

    IP网络主要分为以下网络区域:核心交换区、生产核心区、前置机服务器区、楼层接入区、开发测试区、 网银区、 DWDM 区、广域网接入区、中间业务外联区、运行维护区, 如图:

    e3fbf608-c415-eb11-8da9-e4434bdf6706.png

    2 VLAN规划

    在模块化网络架构中可以看到,数据中心首先是被划分为网络分区,然后基于每个应用对各自架构的QOS需求, 再进一步将网络分区划分为逻辑组。为了完成以上阐述的模块化架构,需要在网络的第2层创建VLAN。在不同分区之间互联点和分区内部上行连接点上,都需要创建VLAN。

    3 路由设计

    在数据内部, 交换核心区域和其他功能区域的汇聚交换机之间运行OSPF骨干区域AREA 0,其他区域内部分别运行OSPF和静态路由。

    02

    核心交换区设计

    1 具体设计

    在东丽数据中心中,核心交换区连接了其他不同的分区。它也作为数据中心连接灾备 中心和广域网络的连接点。核心区在数据中心架构中的作用是,尽可能快速地在网络之间实 现数据传输的路由和数据交换。

    核心区主要部署两台高端交换机S12508 交换机连接其他功能分区,提供10G 和 GE 链 路的双归属连接。两台核心交换器之间采取Trunk 链路连接,启用IRF技术,将两条核心交换机虚拟成一台。

    核心区交换机连接到所有其他区的边缘设备,有两类连接连接到核心,一 类是来自核心生产业务(比如生产核心区, 前置机区)的连接,对该类应用提供高速访问服务,采用万兆接口这两个区域的汇聚交换机。另一类是其它业务。每个区汇聚交换机/ 接入交换机都上行连接到Core-SW1和 Core-SW2。每个区交换机将使用单独的VLAN,VLAN 跨越两个交换机,上行链接到核心。

    2 VLAN划分

    与每个子区域的互联接口可划分为同一VLAN,将核心交换区域与各子域的互联链路进行链路聚合。如下图所示:

    e6fbf608-c415-eb11-8da9-e4434bdf6706.png

    3 路由规划

    在 2 台 Core-SW1 和 Core-SW2 核心交换机和各区域的汇聚交换机连接端口上运行OSPF动态路由协议,所属的区域为Area 0,这样各个网络分区系统都可以通过核心区域知道整个网络系统的路由。

    采用IRF技术后,可以大大简化网络中的路由设置,减少需要的互联路由网段,其中,除网银与中间业务外联区外,其它区域的汇聚 / 接入交换机与核心之间的互联链路都进行聚合,生产核心区和前置机区在各自区域的核心/ 接入交换机上启用三层功能,采用OSPF和核 心交换区之间进行互通,如下图所示意:

    eafbf608-c415-eb11-8da9-e4434bdf6706.png

    03

    生产核心区规划

    1 拓扑

    eefbf608-c415-eb11-8da9-e4434bdf6706.png

    生产核心区用于连接核心的生产业务系统的小机、服务器等生产主机;在该区域采用三层架构,采用全千兆智能接入交换机S5500EI 系列交换机提供小机及服务器的光口、电口接入,每个接入交换机采用双千兆光口分别上行到生产核心区的两条汇聚交换机S9508E交换机上,两条S9508E 交换机互相之间采用双万兆链路聚合捆绑,启用IRF功能,将两台汇聚交换机虚拟成一台交换机,每个S9508E 各出一个万兆接口上联到数据中心核心交换机 S12508 上,上行的两条万兆链路启用链路捆绑功能,聚合成一条20G 的物理链路。

    2 VLAN规划

    上联到核心交换区的VLAN 采用链路聚合, 合并为一个VLAN,在分区内部根据不同级别 的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    汇聚层交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将汇聚层 95 的相关接口划分在一个OSPF-STUB区域中,以免数据中心中收到过多的LSA。各个功能区与核心区通讯路径要保证双向一致性和确定性。

    在任何链路状况下,通讯双方的往返路径均相同,并且可预知。 生产核心区外连核心区的2条链路的进行链路捆绑,在路由计算上,只有一条路径,但是该路径包含2个万兆端口,提供物理层面的冗余。

    04

    前置机区规划

    1拓扑

    f0fbf608-c415-eb11-8da9-e4434bdf6706.png

    前置机区连接生产类系统的前置机等;该区使用4台千兆智能交换机S5500-52C-EI交换 机。4台 S5500-52C-EI交换机采用IRF虚拟化技术将4台交换机虚拟成一台交换机。

    2 VLAN规划

    上联到核心区的链路进行链路捆绑,采用同一个VLAN 进行互联。 在分区内部根据不同级别的应用再进一步分配。VLAN 分配主要考虑互联VLAN 和主机。

    3路由规划

    接入交换机启用三层功能,前置机网关设置在接入交换机上,接入交换机与核心交换机间运行OSPF路由协议。在设备间运行OSPF时,建议将接入交换机的相关接口划分在一个 OSPF- STUB区域中,以免数据中心中收到过多的LSA。

    各个功能区与核心区通讯路径要保证双向一致性和确定性。在任何链路状况下,通讯双方的往返路径均相同,并且可预知。前置区外连核心区的2 条万兆链路的进行链路捆绑, 在路由计算上,只有一条路径,但是该路径包含2 个万兆端口,提供物理层面的冗余。

    05

    广域网接入区规划

    广域网接入区主要连接与各省市分行,天津市内各区县支行,分理处等的上联网络设 备,该区使用两台SR6608 核心路由器作为各分支机构的上联设备,每个SR6608 配置3个CPOS广域接口,2 个主用,一个备用。

    f2fbf608-c415-eb11-8da9-e4434bdf6706.png

    1 路由规划

    广域网接入区与整个数据中心采用统一的策略和部署方案,在核心区作为OSPF骨干区 的前提下,广域网接入区内部路由协议采用OSPF,在区域内路由详细规划上,建议如下:

    广域网路由器与核心交换机互联的端口,划分为OSPF骨干域0域

    广域网路由器下联接口,按照原有的路由规划,划分为1、 2、 3、 4 和 10、 20 、30 、40 等几个路由子域。路由器到核心交换机上的链路采用Trunk 链路进行连接。

    06

    IRF虚拟化技术

    IRF 2交换机虚拟化实现多台设备虚拟化成一台设备,即多台设备当做一台设备来运行、管理。 大大简化数据中心日益复杂的组网和管理维护,相比于传统的MSTP、VRRP和多路径 的路由协议,IRF 可以免除这些协议的部署,简化设备并成倍的提升网络性能与可靠性。

    1 技术优点

    IRF堆叠具有以下主要优点:

    简化管理。IRF堆叠形成之后,用户连接到任何一台成员设备的任何一个端口可以登录 IRF堆叠系统, 这相当于直接登录IRF 系统中的Master设备, 通过对Master设备的配置达到管理整个IRF堆叠以及堆叠内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。

    简化网络运行。IRF形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行 的,例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。IRF 技术的这一特性是常见的集群技术所不具 备的,后者仅仅能完成设备管理上的统一,而集群中的设备在网络中仍然分别作为独立节点运行。

    低成本。 IRF 技术是将一些较低端的设备虚拟成为一个相对高端的设备使用,从而具有高端设备的端口密度和带宽,以及低端设备的成本。比直接使用高端设备具有成本优势。

    强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。

    保护用户投资。由于具有强大的扩展能力,当用户进行网络升级时,不需要替换掉原有设备,只需要增加新设备既可。很好的保护了用户投资。

    高可靠性。堆叠的高可靠性体现在多个方面,比如: 成员设备之间堆叠物理端口支持聚合功能,堆叠系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了堆叠系统的可靠性;堆叠系统由多台成员设备组成,Master设备负责堆叠的运行、管理和维护, Slave 设备在作为备份的同时也可以处理业务,一旦Master 设备故障,系统会迅速自动选举新的Master ,以保证通过堆叠的业务不中断,从而实现了设备级的1:N 备份。IRF 是网络可靠性保障的最优解决方案。

    高性能。 由于IRF设备是由多个支持IRF特性的单机设备堆叠而成的,IRF设备的交换容 量和端口数量就是IRF内部所有单机设备交换容量和端口数量的总和。因此,IRF技术能够通过多个单机设备的堆叠, 轻易的将设备的核心交换能力、用户端口的密度扩大数倍, 从而大幅度提高了设备的性能。

    丰富的功能。IRF支持包括IPv4、 IPv6、 MPLS、安全特性、OAA 插卡、高可用性等全部交换机特性,并且能够高效稳定地运行这些功能,大大扩展了IRF设备的应用范围。

    广泛的产品支持。IRF 技术作为一种通用的虚拟技术,对不同形态产品的堆叠一体化的 实现,使用同一技术,同时支持盒式设备的堆叠,以及框式分布式设备的堆叠。

    2 典型组网应用

    使用 IRF 扩展端口数量

    使用 IRF扩展端口数量如下图所示。当接入的用户数增加到原交换机端口密度不能满足 接入需求时,可以通过在原有的堆叠系统中增加新的交换机而得到满足。

    f6fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展系统处理能力

    使用 IRF扩展系统处理能力如下图所示。当中心的交换机转发能力不能满足需求时,可 以增加新交换机与原交换机组成堆叠系统来实现。若一台交换机转发能力为64M PPS,则通过增加一台交换机进行扩展后,整个堆叠设备的转发能力为128MPPS。需要强调的是,是整个堆叠设备的转发能力整体提高,而不是单个交换机的转发能力提高。

    f8fbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 扩展带宽

    使用 IRF扩展带宽如下图所示,当边缘交换机上行带宽增加时,可以增加新交换机与原 交换机组成堆叠系统来实现。将成员设备的多条物理链路配置成一个聚合组,可以增加到中心交换机的带宽。而对中心交换机的而言,边缘交换机的数量并没有变化,物理上的两台交 换机看起来就是一台交换机,原有交换机会将当前的配置批量备份到新加入的交换机。因此,这种变化对网络规划和配置影响很小。

    fafbf608-c415-eb11-8da9-e4434bdf6706.png

    跨越空间使用IRF

    IRF2.0 可以通过光纤将相距遥远的设备连接形成堆叠设备,如下图所示,每个楼层的用 户通过楼道交换机接入外部网络,现使用堆叠光纤将各楼道交换机连接起来形成一个堆叠设备,这样, 相当于每个楼只有一个接入设备,网络结构变得更加简单;每个楼层有多条链路到达核心网络,网络变得更加健壮、可靠; 对多台楼道交换机的配置简化成对对堆叠系统的配置,降低了管理和维护的成本。

    fbfbf608-c415-eb11-8da9-e4434bdf6706.png

    使用 IRF 简化组网

    常见的网络组网使用MSTP、VRRP等协议来支持链路冗余、网关备份。 这种组网在各种场合均会使用,这里仅以汇聚层与接入层之间的组网为例。

    使用 IRF2.0后,汇聚层的多个设备成为了一个单一的逻辑设备,接入设备直接连接到虚拟设备。这个简化后的组网不再需要使用MSTP、VRRP协议,简化了网络配置。同时依靠跨 设备的链路聚合,在成员出现故障时不再依赖MSTP、 VRRP等协议的收敛,提高了可靠性。

    fefbf608-c415-eb11-8da9-e4434bdf6706.png
    展开全文
  • 首先,论文的题目是“中小型园区设计与实现”。在这个题目中,包含 了几个方面的要求。第一,网络规模是“中小型”,因此,论文中网络的规模不 能太,我不希望最后的结果是用一个集线器或交换机连接了十几台或...
  • 博客描述查看:https://blog.csdn.net/qq_43757282/article/details/106249098
  • 通过分析,我们可以得出该企业网拓扑图需要一个核心路由器来完成内外网地址转换,并且指定地址使内外网可以访问到企业内网web服务器。我们可以以一台三层交换机为中心一台路由器和六台二层交换机相连接作为内网,...
  • 设计通过对交换机、路由器、服务器等设备的配置,概括了高校所要学习的多数网络知识和操作应用,可以作为学习网络知识的参考资料,但为了有更多的提高,读者还应通过其它途径不断加强学习,以增强自己的网络知识...
  • 完整实验报告。实现要求:在三层交换设备上产生两个VLAN对应两个部门,利用三层设备实现两部门间通信,内网外部Internet的通信利用边界路由。外Internet可以用R2来模拟。
  • 1、根据网络拓扑规划网络结构并按要求连接线缆 ... 8、企业内部网络实现高效的路由选择协议RIP完成互联 9、在RB上配置NAT,以实现内网能够访问Internet 10、企业内网和外的互联使用静态路由或默认路由实现
  • 中小型企业网络规划设计和实施方案,网络新手的福音。
  • 使学生理论联系实际,在实践进一步了解计算机网络体系结构,深入理解TCP/IP参考模型,掌握各种网络工程技术和网络规划与设计,初步掌握高速局域网技术、广域接入技术、网络互联技术,初步掌握网络配置开发技术...
  • 一、设计任务要求 - 5 - 二、实验环境 - 5 - 三、主要技术原理 - 5 - 1.VLAN技术介绍 - 5 - 2.DHCP技术介绍 - 5 - 3.ACL协议介绍 - 5 - 4.动态路由 - 6 - 四、设计规划 - 6 - 1、网络拓扑图 - 6 - 2、...
  • 企业有办公室、财务部、销售部、设计部、生产部5个部门,每个部门配置8台计算机。你作为网络管理员,需要为该企业设计并实现一个网络。具体要求: (1) 为每台计算机分配一个私有地址,地址范围:192.168.0.0/24。...
  • 1.VLAN划分 2.ospf路由 3.pat 4.gre vpn 5.hsrp 等
  • 小型企业网络设计

    千次阅读 2020-06-04 17:24:18
    1.1. 路由器R2作为企业网与互联网相通的路由器。在R2配置NAT地址转换技术将企业私网地址转为公网地址,实现企业网络互联网相互通信功能。 1.2. 在路由器R2、R3,交换机SW1和SW2配置动态路由ospf,R4和R6配置rip。 ...

    小型企业网络设计


    在这里插入图片描述

    1. *需求分析*

    1.1. 路由器R2作为企业网与互联网相通的路由器。在R2配置NAT地址转换技术将企业私网地址转为公网地址,实现企业网络与互联网相互通信功能。

    1.2. 在路由器R2、R3,交换机SW1和SW2配置动态路由ospf,R4和R6配置rip。

    1.3. R3设置为ASBR路由,向area0骨干网络区域引入rip动态路由。使骨干网area0的网络区域能与R4和R6相通。

    1.4. R4配置单臂路由使PC3和PC4互通。

    1.5. Server服务的http映射一个公网地址202.2.12.3地址。企业网络内部http服务连接互联网。

    2. *路由器和交换机配置信息*

    
    ## (一)R1配置
    
    interface GigabitEthernet0/0/0
    ip address 202.2.2.1 255.255.255.0 
    interface GigabitEthernet0/0/1
    ip address 202.2.12.1 255.255.255.0 
    
    
    ## (二)R2配置
    
    interface GigabitEthernet0/0/0
    ip address 202.2.12.2 255.255.255.0 
    nat server protocol tcp global 202.2.12.3 www inside 10.1.100.100 www
    nat outbound 2000
    acl 2000   //新建策略
    rule 5 permit source 10.1.0.0 0.0.255.255       //easy-ip NAT转换,私网转公网,之后去接口g0/0/0输入nat outbound 2000
    interface GigabitEthernet0/0/1
    ip address 10.1.113.2 255.255.255.0 
    interface GigabitEthernet0/0/2
    ip address 10.1.111.1 255.255.255.0 
    interface GigabitEthernet6/0/0
    ip address 10.1.112.1 255.255.255.0 
    interface LoopBack0
    ip address 2.2.2.2 255.255.255.255 
    ospf 1 router-id 2.2.2.2 
    default-route-advertise     // 到ospf中设置默认指向路由,使area0中的路由能够学习到R2指向R1的默认路由
    default-route-advertise 命令意思是将本路由器发布一条0.0.0.0/0.0.0.0的路由到域内其他路由器到其他路由器学习到这条默认路由后,其他路由器下一个跳就是指向发布这条路由的路由器。
    area 0.0.0.0 
    network 2.2.2.2 0.0.0.0    //area0网络号网络号宣告LSA
    network 10.1.111.0 0.0.0.255 
    network 10.1.112.0 0.0.0.255 
    network 10.1.113.0 0.0.0.255 
    ip route-static 0.0.0.0 0.0.0.0 202.2.12.1   //设置指向R1的默认路由
    
    (三)R3配置
    interface LoopBack0
    ip address 3.3.3.3 255.255.255.255 
    ospf 1 router-id 3.3.3.3 
    import-route rip 1 cost 5 type 1   //引入rip路由cost零梢默认为5
    area 0.0.0.0 
    network 3.3.3.3 0.0.0.0 
    network 10.1.113.0 0.0.0.255
    interface GigabitEthernet0/0/0
    ip address 10.1.113.1 255.255.255.0 
    interface GigabitEthernet0/0/1
    ip address 10.1.134.2 255.255.255.0 
    rip 1               //配置动态路由
    default-route originate   //rip中引入默认路由
    version 2
    network 10.0.0.0
    import-route ospf 1     //引入ospf路由
    
    (四)R4配置
    interface GigabitEthernet0/0/0
    ip address 10.1.134.1 255.255.255.0 
    interface GigabitEthernet0/0/1
    ip address 10.1.135.1 255.255.255.0 
    interface GigabitEthernet0/0/2
    interface GigabitEthernet0/0/2.21
    dot1q termination vid 21
    ip address 10.1.21.1 255.255.255.0 
    arp broadcast enable
    interface GigabitEthernet0/0/2.22
    dot1q termination vid 22
    ip address 10.1.22.1 255.255.255.0 
    arp broadcast enable
    interface LoopBack0
    ip address 4.4.4.4 255.255.255.255 
    rip 1
    version 2
    network 10.0.0.0    //rip 宣告网络号
    network 4.0.0.0
    
    (五)R5配置
    interface GigabitEthernet0/0/0
    ip address 10.1.135.2 255.255.255.0 
    interface GigabitEthernet0/0/1
    ip address 10.1.100.1 255.255.255.0 
    interface GigabitEthernet0/0/2
    interface LoopBack0
    ip address 5.5.5.5 255.255.255.255 
    rip 1
    undo summary
    version 2
    network 10.0.0.0
    network 5.0.0.0
    
    (六)SW1配置
    sysname SW1
    vlan batch 11 to 12 1000 to 1001
    interface Vlanif11
    ip address 10.1.11.1 255.255.255.0
    interface Vlanif12
    ip address 10.1.12.1 255.255.255.0
    interface Vlanif1000
    ip address 10.1.122.11 255.255.255.0
    interface Vlanif1001
    ip address 10.1.111.12 255.255.255.0
    interface Eth-Trunk1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 11
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 1001
    interface GigabitEthernet0/0/3
    eth-trunk 1
    interface GigabitEthernet0/0/4
    port link-type access
    port default vlan 12
    interface GigabitEthernet0/0/5
    eth-trunk 1
    interface LoopBack0
    ip address 11.11.11.11 255.255.255.255
    ospf 1 router-id 11.11.11.11
    area 0.0.0.0
    network 10.1.11.0 0.0.0.255
    network 10.1.12.0 0.0.0.255
    network 10.1.122.0 0.0.0.255
    network 10.1.111.0 0.0.0.255
    network 11.11.11.11 0.0.0.0
    
    (七)SW2配置
    vlan batch 13 to 14 1000 1002
    interface Vlanif13
    ip address 10.1.13.1 255.255.255.0
    interface Vlanif14
     ip address 10.1.14.1 255.255.255.0
    interface Vlanif1000
    ip address 10.1.122.12 255.255.255.0
    interface Vlanif1002
    ip address 10.1.112.12 255.255.255.0
    interface MEth0/0/1
    interface Eth-Trunk1
    port link-type access
    port default vlan 1000
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 1002
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 13
    interface GigabitEthernet0/0/3
    eth-trunk 1
    interface GigabitEthernet0/0/4
    port link-type access
    port default vlan 14
    interface LoopBack0
    ip address 22.22.22.22 255.255.255.255
    ospf 1 router-id 22.22.22.22
    area 0.0.0.0
    network 10.1.13.0 0.0.0.255
    network 10.1.14.0 0.0.0.255
    network 10.1.112.0 0.0.0.255
    network 10.1.122.0 0.0.0.255
    network 22.22.22.22 0.0.0.0
    
    (八)SW5配置
    vlan batch 21 to 22
    interface Ethernet0/0/21
    port link-type access
    port default vlan 22
    interface Ethernet0/0/22
    interface GigabitEthernet0/0/1
    port link-type trunk
    port trunk allow-pass vlan 21 to 22
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 21
    
    (九)Sw3配置
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 11
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 11
    
    (十)SW4配置
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 12
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 12
    
    (十一)SW6配置
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 13
    interface GigabitEthernet0/0/2
    port link-type access
    port default vlan 13
    
    (十二)SW8配置
    interface GigabitEthernet0/0/1
    port link-type access
    port default vlan 14
    interface Ethernet0/0/4
    port link-type access
    port default vlan 14
    

    3.** *网络中PC手工配置ip地址*

    PC机ip地址子网掩码网关
    PC1202.2.2.100/24255.255.255.0202.2.2.1/24
    PC210.1.12.100/24255.255.255.010.1.12.1/24
    PC310.1.21.100/24255.255.255.010.1.21.1/24
    PC410.1.22.100/24255.255.255.010.1.22.1/24
    PC510.1.11.100/24255.255.255.010.1.11.1/24
    PC610.1.14.100/24255.255.255.010.1.14.1/24
    PC910.1.13.100/24255.255.255.010.1.13.1/24

    4. *Server服务配置*****

    在这里插入图片描述5.PC5pingPC1,在R2接口g0/0/0抓包查看,私网地址转换公网地址情况。PC机之间互通。其他PC机与PC1也互通最终实现全网通。
    在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述

    展开全文
  • 掌握中小型企业网络构建技术、掌握网络设备及服务器配置,熟悉网络调试故障排除的原则和方法,加深理解计算机网络的基本原理,根据一个小型企业的需求,规划设计一个企业级网络方案并对其进行实施
  • 本资源详细给出了中小型企业需求,对需求进行了详细的分析,并对作出了设计方案并进行配置与实现。
  • 各个设备的配置文件在名为“配置文件”文件夹,进入ensp后右键设备导入对应名称配置
  • Cisco 中小企业网络结构设计案例 设计思路: 1、 路由器上配置NAT转换,默认路由至ISP,静态路由至三层交换机 2、 三层交换机上划VLAN,实现VLAN间路由,至路由器默认路由; 3、 三层交换机上做ACL列表演,写实现...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 137,891
精华内容 55,156
关键字:

中小型企业网的设计与配置